盡管全球經(jīng)濟(jì)形勢(shì)趨于嚴(yán)峻，但API經(jīng)濟(jì)仍在繼續(xù)增長。對(duì)于大多數(shù)行業(yè)來說，API促進(jìn)了幾乎所有應(yīng)用程序或服務(wù)的即時(shí)交易，加快了商品和服務(wù)的交易速度。應(yīng)用交付網(wǎng)絡(luò)和業(yè)務(wù)解決方案提供商F5公司最近發(fā)布的一份報(bào)告以這種方式描述了API的快速增長：“如果說數(shù)據(jù)是新的石油，那么API將成為新的塑料?！?/p>

開放API(或公共API)提供了許多機(jī)會(huì)和競爭優(yōu)勢(shì)。企業(yè)可以利用開放API來重塑其供應(yīng)和交付鏈。企業(yè)可以利用廣泛的開發(fā)人員人才庫和不斷增長的軟件資源庫。此外，企業(yè)可以將其商業(yè)開發(fā)的API作為開放API發(fā)布。通過這樣做，他們可以吸引新客戶、提高品牌忠誠度，并提升他們的市場形象。

然而，開放API也帶來了固有的風(fēng)險(xiǎn)和挑戰(zhàn)，企業(yè)需要在開始這一旅程之前解決這些問題。

本文將為IT工程師、領(lǐng)導(dǎo)團(tuán)隊(duì)成員和網(wǎng)絡(luò)安全專業(yè)人員提供對(duì)開放API生態(tài)系統(tǒng)的10種威脅的快照。

API經(jīng)濟(jì)：機(jī)遇與威脅

開放API提供了許多機(jī)會(huì)，其中包括改進(jìn)企業(yè)與供應(yīng)商、服務(wù)提供商和客戶的聯(lián)系和協(xié)作，最終這有助于改善客戶體驗(yàn)。通過API端點(diǎn)連接的微服務(wù)使企業(yè)能夠利用適合用途的技術(shù)，擺脫了使用繁瑣的單一系統(tǒng)的束縛。從而提高了生產(chǎn)力。所有這些都將顯著地降低應(yīng)用程序開發(fā)、部署和維護(hù)的成本。

然而，從本質(zhì)上說，開放API也吸引了網(wǎng)絡(luò)犯罪分子的注意。由于API是交易性的，因此它們也容易受到意外或惡意泄露個(gè)人、財(cái)務(wù)和其他敏感信息的影響。未受保護(hù)的端點(diǎn)或未經(jīng)驗(yàn)證的客戶端請(qǐng)求可能會(huì)將API暴露給DDoS、SQL注入或勒索軟件等潛在威脅。這些都會(huì)嚴(yán)重影響開放API的開發(fā)人員和消費(fèi)者。

參與開放API生態(tài)系統(tǒng)需要對(duì)此做好周全的準(zhǔn)備，而準(zhǔn)備工作從威脅識(shí)別開始。

開放API(或任何API)的10個(gè)威脅

網(wǎng)絡(luò)安全行業(yè)已投入大量資源來識(shí)別、分類和分級(jí)API攻擊向量?；谶@項(xiàng)研究，以下列出了開放API面臨的10種值得注意的威脅。

(1)對(duì)象級(jí)入侵

API依賴于經(jīng)常處理對(duì)象ID的端點(diǎn)。此類對(duì)象可以是任何資源，例如文件、數(shù)據(jù)庫表或端口。糟糕的應(yīng)用程序設(shè)計(jì)可能會(huì)利用隨客戶端請(qǐng)求發(fā)送的對(duì)象ID。

為了防止這種情況發(fā)生，API的代碼在每次獲取對(duì)象數(shù)據(jù)或?qū)ζ溥M(jìn)行任何操作時(shí)都必須執(zhí)行對(duì)象級(jí)別的授權(quán)檢查。此類檢查確保發(fā)出請(qǐng)求的用戶或應(yīng)用程序具有執(zhí)行此類功能的最低權(quán)限。具有最佳實(shí)踐的傳統(tǒng)實(shí)施使用最小權(quán)限原則和基于角色的訪問控制來進(jìn)行這些檢查。

(2)用戶身份驗(yàn)證漏洞

惡意行為者利用破壞用戶身份驗(yàn)證的API來欺騙有效用戶，獲得對(duì)系統(tǒng)不同部分的未經(jīng)授權(quán)的訪問，并發(fā)動(dòng)進(jìn)一步的攻擊。

使用強(qiáng)大的身份驗(yàn)證機(jī)制保護(hù)API端點(diǎn)對(duì)于防范這種威脅至關(guān)重要。用戶身份驗(yàn)證通過要求客戶端提供有效憑據(jù)(如用戶名/密碼組合或API訪問密鑰)來保護(hù)API。

(3)無意的數(shù)據(jù)暴露

糟糕的編碼實(shí)踐通常會(huì)在代碼中暴露對(duì)象屬性、數(shù)據(jù)或其他敏感信息?？蛻舳藨?yīng)用程序必須在將結(jié)果返回給用戶之前過濾掉這些信息。但是，此類數(shù)據(jù)(例如其他API的密鑰、憑據(jù)或個(gè)人信息)可能會(huì)保留在代碼中，并且當(dāng)API代碼托管在公共存儲(chǔ)庫上時(shí)，它們會(huì)在無意中對(duì)外泄露。

(4)分布式拒絕服務(wù)(DDoS)

如果沒有對(duì)請(qǐng)求訪問速率的限制，API端點(diǎn)很容易受到分布式拒絕服務(wù)(DDoS)攻擊。此類攻擊涉及惡意攻擊者從多個(gè)來源(通常是受感染的系統(tǒng))向API端點(diǎn)發(fā)起大量請(qǐng)求，使端點(diǎn)不堪重負(fù)，并使其脫機(jī)。而目前流行的開放API可能是此類攻擊的常見目標(biāo)。

速率限制將客戶端請(qǐng)求的數(shù)量限制在給定時(shí)間內(nèi)的特定最大值。在此期間收到的任何其他客戶請(qǐng)求都將被拒絕。在通常情況下，API網(wǎng)關(guān)會(huì)執(zhí)行這一限速任務(wù)。

(5)授權(quán)黑客

復(fù)雜的對(duì)象和功能訪問控制策略有時(shí)可以具有多個(gè)層次結(jié)構(gòu)、組、角色和權(quán)限。這種復(fù)雜的安全機(jī)制笨重且難以維護(hù)。開發(fā)人員或管理員有時(shí)可能會(huì)為用戶或應(yīng)用程序分配更高的權(quán)限以規(guī)避問題。這通常會(huì)導(dǎo)致黑客通過針對(duì)個(gè)人帳戶或完全繞過訪問控制中的缺陷來利用更高的權(quán)限。

(6)批量分配的弱點(diǎn)

這種威脅也稱為自動(dòng)綁定或?qū)ο笞⑷肼┒础，F(xiàn)代應(yīng)用程序框架鼓勵(lì)開發(fā)人員使用將客戶端請(qǐng)求輸入值鏈接到代碼變量和其他內(nèi)部對(duì)象的自動(dòng)功能，以簡化和加速開發(fā)。利用此框架帶來的副作用，網(wǎng)絡(luò)攻擊者可以更改或覆蓋開發(fā)人員從未打算公開的關(guān)鍵對(duì)象的屬性。

(7)安全錯(cuò)誤配置缺陷

安全錯(cuò)誤配置的示例包括不安全的默認(rèn)設(shè)置、不充分或未跟蹤的配置更改、不安全的存儲(chǔ)、錯(cuò)誤配置的HTTP標(biāo)頭、允許的跨域資源共享(CORS)以及包含敏感信息的詳細(xì)錯(cuò)誤消息。而部署和配置支持開放API運(yùn)行的基礎(chǔ)設(shè)施資源需要特別注意安全性。

(8)代碼注入漏洞

代碼注入涉及惡意玩家利用糟糕的輸入驗(yàn)證在API請(qǐng)求中嵌入SQL或其他命令。當(dāng)不能很好地防范此類攻擊的API代碼運(yùn)行時(shí)，這些命令可能會(huì)暴露敏感數(shù)據(jù)、執(zhí)行數(shù)據(jù)修改或刪除，或促進(jìn)進(jìn)一步的滲透。

(9)資產(chǎn)管理不善

由于API比傳統(tǒng)的Web應(yīng)用程序暴露更多的端點(diǎn)，維護(hù)不當(dāng)?shù)奈臋n、接口描述、版本控制或資產(chǎn)列表可能導(dǎo)致忽略重要的攻擊面，并帶來不安全因素。

(10)記錄和監(jiān)控不足

日志記錄和監(jiān)控不足導(dǎo)致未報(bào)告關(guān)鍵安全事件，也未發(fā)送主動(dòng)警告。此外，缺失或有缺陷的事件響應(yīng)過程允許網(wǎng)絡(luò)攻擊者繼續(xù)其活動(dòng)而不被注意。許多數(shù)據(jù)違規(guī)事件表明，監(jiān)管不力導(dǎo)致數(shù)據(jù)泄露違規(guī)行為在發(fā)生200多天之后才被發(fā)現(xiàn)。

應(yīng)對(duì)開放API威脅

為了應(yīng)對(duì)以上討論的威脅和漏洞，有必要在API的設(shè)計(jì)和開發(fā)階段采用安全最佳實(shí)踐。以下是一些需要考慮的基本安全控制措施：

• 監(jiān)控軟件供應(yīng)鏈和分析軟件組成可以識(shí)別易受網(wǎng)絡(luò)攻擊的組件，例如不安全的第三方庫。
• 靜態(tài)應(yīng)用程序安全測(cè)試(SAST)審查應(yīng)用程序代碼，并可以識(shí)別漏洞。
• 動(dòng)態(tài)應(yīng)用程序安全測(cè)試(DAST)在應(yīng)用程序代碼運(yùn)行時(shí)模擬對(duì)它的攻擊，從而發(fā)現(xiàn)可能的弱點(diǎn)。
• 安全事件和事件管理(SIEM)解決方案可以掃描應(yīng)用程序日志以發(fā)現(xiàn)可能的違規(guī)、可疑活動(dòng)、趨勢(shì)或異常。
• 安全編排、自動(dòng)化和響應(yīng)(SOAR)解決方案通過在檢測(cè)到安全異常或威脅時(shí)執(zhí)行運(yùn)行手冊(cè)中的補(bǔ)救步驟，并進(jìn)一步發(fā)展。
• 強(qiáng)大的身份驗(yàn)證機(jī)制允許驗(yàn)證API用戶。同樣，強(qiáng)大的授權(quán)機(jī)制使用戶能夠只執(zhí)行允許執(zhí)行的特定操作。
• 使用對(duì)稱密鑰加密數(shù)據(jù)，并使用SSL/TLS證書保護(hù)API端點(diǎn)，確保數(shù)據(jù)在靜態(tài)時(shí)和傳輸中受到保護(hù)。
• 經(jīng)過測(cè)試的強(qiáng)大災(zāi)難恢復(fù)計(jì)劃可確保API得到修復(fù)并快速恢復(fù)在線，即使API已被破壞。

此外，API網(wǎng)關(guān)還可以通過向其托管的API提供服務(wù)發(fā)現(xiàn)、路由、負(fù)載均衡、高可用性和可觀察性服務(wù)，極大地增強(qiáng)API的安全性和穩(wěn)定性。它允許企業(yè)使用SSL/TLS輕松保護(hù)所有通信通道，實(shí)施速率限制以防止DDoS攻擊，并限制客戶端請(qǐng)求有效負(fù)載和API響應(yīng)大小。API網(wǎng)關(guān)還可以與Web應(yīng)用程序防火墻(WAF)一起使用，以提供額外的安全層。

結(jié)論

正如人們所見，企業(yè)可以通過使用開放API構(gòu)建強(qiáng)大的應(yīng)用程序來參與API經(jīng)濟(jì)。但是，開放API并非沒有威脅。以上簡要介紹了10種安全威脅以及應(yīng)對(duì)措施。API網(wǎng)關(guān)可以促進(jìn)其中的一些措施，并提供高級(jí)管理功能。