約66%的公司企業(yè)表示，由于API安全問題，已延緩在生產環(huán)境中部署應用。

近幾個月來，研究人員第二次警示不安全應用編程接口(API)對企業(yè)安全造成的威脅。

去年11月，咨詢公司佛瑞斯特研究就警告稱，公司企業(yè)未能像對付應用程序漏洞一樣處理API漏洞，并因此造成自身越來越暴露在API相關安全漏洞的威脅之下。

今年3月初，安全公司Salt Security發(fā)布API安全報告，報告綜合了該公司針對200名IT及安全人員的調查反饋和來自該公司客戶的實證數(shù)據(jù)。

結果顯示，91%的受訪公司企業(yè)去年經歷過API相關問題。超過半數(shù)(54%)的受訪企業(yè)在其API中發(fā)現(xiàn)了漏洞，46%的受訪企業(yè)出現(xiàn)了身份驗證問題，而20%指出了爬蟲和數(shù)據(jù)抓取工具引發(fā)的問題。

Salt Security副總裁Michelle McLean稱：“2020年最普遍的API安全事件就是在生產環(huán)境API中發(fā)現(xiàn)漏洞?！?/p>

調查結果顯示，盡管公司企業(yè)開始應用安全左移原則，盡量在開發(fā)生命周期早期階段就集成安全控制措施，但這項工作仍未做到位。

“公司企業(yè)需補強在構建和部署運行時安全的過程中所用的安全戰(zhàn)術。”普遍程度僅次于生產環(huán)境API漏洞的安全事件主要圍繞身份驗證問題，攻擊者能夠以某種方式玩弄身份驗證機制，獲取敏感數(shù)據(jù)。其他常見問題還包括賬戶濫用和拒絕服務攻擊，也就是攻擊者發(fā)起足量受控API流量中斷API背后應用的正常運行。

McLean指出：“API是公司企業(yè)的一大風險來源。攻擊者目前正大肆利用API，而現(xiàn)有策略和技術并不足以提供充分的保護?！?/p>

應用和應用組件能夠借助API在內部網絡上相互通信，且照目前趨勢看來，應用和應用組件之間的通信將更多依賴API在互聯(lián)網上進行。最初，API一般用在安全私有網絡和信道上。如今，越來越多的公司企業(yè)利用API將內部應用和原有系統(tǒng)及服務通過互聯(lián)網共享給客戶、合作伙伴、供應商和其他第三方。公司企業(yè)用于內部應用互聯(lián)和連接外部世界的API可能多達成百上千個。安全分析師曾經指出，如果防護不周，API相當于為外部人員訪問公司關鍵數(shù)據(jù)和應用提供了直接通道。

攻擊者最常用的API漏洞利用手法，是篡改用戶身份標識(ID)號等API可能有權訪問的對象。

McLean舉例稱：“攻擊者通過身份驗證登錄應用，用他們自己的ID發(fā)起通信，然后在一系列后續(xù)API調用中將此用戶ID對象改成另一個用戶ID。然后他們就能訪問與此另一ID相關聯(lián)的敏感信息了。”

? API安全陰霾籠罩

Salt Security的調查發(fā)現(xiàn)，由于API安全相關的顧慮，三分之二的公司企業(yè)放緩了往生產環(huán)境推出新應用的腳步。該公司的客戶數(shù)據(jù)顯示，從去年6月到12月，每月每客戶遭遇的API攻擊數(shù)量從50次驟增到80次。另外，Salt Security客戶的月度平均API調用規(guī)模增長51%的同時，惡意流量卻暴增了211%。

McLean表示，攻擊者利用這些惡意API流量來染指API連接的數(shù)據(jù)，或者中斷API賦能的服務。舉個例子，攻擊者會在API調用期間修改賬戶號，或者操縱API調用插入成百上千個可能的憑證，以期匹配幾個已有真實憑證。

Salt Security的調查還反映出，即使趨勢明顯，很多公司企業(yè)對待此類問題的態(tài)度還是相對無動于衷：超過四分之一(27%)的受訪企業(yè)承認根本沒有應對API安全問題的策略，54%的受訪企業(yè)認為自己的策略最多達到基礎水平。83%的受訪企業(yè)坦陳不了解自身API使用情況，82%不確定自己是否清楚那些暴露PII、持卡人信息和其他敏感信息的API。

超過20%的受訪企業(yè)承認無法了解到底哪些API暴露了個人可識別信息，還有很多企業(yè)表示自身最大的顧慮是網絡上普遍存在過時僵尸API。

McLean認為，解決這些問題需要一套完備的API安全策略。這意味著建立起保護整個API生命周期的機制。公司企業(yè)需設置在構建階段、部署階段和生產環(huán)境運行階段驗證API的控制措施。

此外，還應考慮培育API編寫團隊和API所連數(shù)據(jù)與服務的安全防護團隊之間的協(xié)作。

“開發(fā)人員不具備安全團隊那種‘攻擊者思維’，而安全團隊并不天天編程，不像開發(fā)人員那么熟悉API結構?！?/p>

只有確保兩個團隊相互協(xié)作，才能充分保護好企業(yè)API。

Salt Security調查報告：https://salt.security/api-security-trends

關鍵詞：API安全

來源：數(shù)世咨詢