?還記得當(dāng)年勒索軟件是 DevOps 團(tuán)隊需要擔(dān)心的主要安全威脅嗎？

那些日子已經(jīng)過去了。當(dāng)然，勒索軟件攻擊仍在發(fā)生，但根據(jù) Gartner 的數(shù)據(jù)，API 安全漏洞(2021年增加了600%)現(xiàn)在已經(jīng)準(zhǔn)備好成為威脅行為者的頭號攻擊媒介。

這就是壞消息。好消息是，在許多方面，DevOps 團(tuán)隊已經(jīng)具備的防范勒索軟件的安全實踐也可以重新用于提供 API 安全性ーー只需進(jìn)行一些調(diào)整。

請繼續(xù)閱讀今天的 API 安全狀態(tài)，以及擴(kuò)展 DevOps 現(xiàn)有勒索軟件防御技術(shù)以保護(hù) API 的提示。

API 的優(yōu)勢

盡管 API 突然成為攻擊者最好的朋友似乎有些令人驚訝，但是當(dāng)你退一步想想在過去的五年中我們對 API 的依賴程度有多深時，你就會發(fā)現(xiàn)事實并非如此。

API 已經(jīng)存在很長時間了。但是直到最近，API 主要用于特定類型的應(yīng)用程序、 B2B 或基礎(chǔ)設(shè)施集成。直到轉(zhuǎn)向微服務(wù)和分布式架構(gòu)，內(nèi)部(或東西方) API 才成為將應(yīng)用程序環(huán)境粘合在一起的粘合劑，并在應(yīng)用程序的組件和微組件之間傳遞信息(有時是敏感的)。

至于外部 API，發(fā)布公共 API 已成為幾乎所有軟件產(chǎn)品企業(yè)的基本期望ーー目前已有大約2.2萬個公共 API，以及幾個數(shù)量級更多的內(nèi)部 API。

其結(jié)果是 API 創(chuàng)建了針對幾乎所有應(yīng)用程序或服務(wù)的潛在攻擊向量。因此，壞人們越來越多地將注意力集中在利用 API 作為獲取訪問您不希望他們擁有的東西的手段，這才是有意義的。

從勒索軟件保護(hù)到 API 保護(hù)

您可能認(rèn)為保護(hù) API 需要全新的安全工具和實踐。但實際上，在減輕勒索軟件風(fēng)險和減輕 API 安全風(fēng)險之間存在著廣泛的相似之處。DevOps 團(tuán)隊是對抗這些的主要防線。

下面介紹如何將反勒索軟件策略擴(kuò)展為反 API 利用策略。

防止橫向移動

與通過利用缺陷和漏洞從端點(diǎn)到端點(diǎn)橫向傳播的勒索軟件一樣，API 利用也通常橫向傳播到整個環(huán)境。

T

這意味著，即使你不能阻止所有的 API (或勒索軟件)攻擊突破你的邊界，你可以采取措施，使它難以擴(kuò)大破壞。通過及早發(fā)現(xiàn)環(huán)境中的惡意活動，可以在威脅導(dǎo)致大規(guī)模危害之前阻止其橫向傳播。

關(guān)注數(shù)據(jù)安全

勒索軟件攻擊和 API 攻擊都致力于破壞同一個王冠上的寶石: 你的數(shù)據(jù)。勒索軟件攻擊者想用這些數(shù)據(jù)換取贖金。API 攻擊者——比如那些從受到攻擊的 Peloton 賬戶中竊取敏感信息的人，或者那些通過侵入 LinkedIn 的 API 來獲取大約7億用戶數(shù)據(jù)的人——通常都會想要將其提取出來，可能是為了轉(zhuǎn)售，也可能只是為了損害你的企業(yè)聲譽(yù)。

因此，降低勒索軟件風(fēng)險和 API 安全風(fēng)險歸根結(jié)底就是保護(hù)您的數(shù)據(jù)。通過對內(nèi)部和公共 API 實施強(qiáng)有力的訪問控制和細(xì)分，可以減少由于 API 數(shù)字證書認(rèn)證機(jī)構(gòu)而導(dǎo)致的數(shù)據(jù)外泄風(fēng)險。

使用行為安全模型

將所有基于簽名的安全控制都投入到攻擊預(yù)防中，對于勒索軟件或 API 攻擊都不會有很好的效果，尤其是當(dāng)它們是零日攻擊或未知攻擊時。雖然您當(dāng)然應(yīng)該盡可能地強(qiáng)化環(huán)境，但是不可能保證漏洞不會越過您的防御。

這就是為什么部署基于行為的安全模型是防范勒索軟件和 API 攻擊的關(guān)鍵。行為安全模型檢測環(huán)境中的異常活動，比如異常類型的請求或奇怪的請求模式。通過對行為進(jìn)行建模和基線化，并根據(jù)您的模型檢測異常，您可以防止攻擊在進(jìn)行過程中擴(kuò)散。

不要依賴周邊防御

類似地，試圖保護(hù)環(huán)境的周邊并不一定能抵御勒索軟件或 API 攻擊。相反，您需要在所有端點(diǎn)、應(yīng)用程序、服務(wù)等之間分布保護(hù)。

同樣，沒有什么能保證攻擊者不會進(jìn)來。你們防御的成功很大程度上取決于你們是否有能力讓他們難以將攻擊從小規(guī)模的缺口升級為影響大范圍資源的攻擊。

看看表面之外

勒索軟件和 API 攻擊是相似的，因為它們通常都涉及為躲避常見的安全監(jiān)控工具而設(shè)計的攻擊方法。

例如，攻擊者可能試圖利用端口80或443(默認(rèn)的 HTTP/HTTPS 端口) ，這些端口幾乎總是在防火墻上打開。因此，必須避免僅僅依賴標(biāo)準(zhǔn)端口或加密來保護(hù) API 通信。相反，您必須深入研究有效載荷，然后解析和理解協(xié)議。監(jiān)視和收集來自多個來源的數(shù)據(jù)，然后將它們關(guān)聯(lián)起來并進(jìn)行分析，以便更深入地了解環(huán)境中實際發(fā)生的情況，這一點(diǎn)也很重要。

結(jié)論

可以肯定的是，勒索軟件攻擊和 API 安全性攻擊在某些方面是完全不同的。它們涉及到對不同協(xié)議的利用，攻擊者的目標(biāo)通常也有所不同。

但就攻擊者如何操作、他們想竊取什么(您的數(shù)據(jù))以及基于周界的防御、勒索軟件攻擊和 API 攻擊的局限性而言，它們實際上非常相似。

這就是為什么開發(fā)人員和 DevOps 團(tuán)隊不需要重新考慮他們的整個安全策略來應(yīng)對 API 攻擊的激增。相反，做你已經(jīng)在做的來防止勒索軟件，并且使用這些技術(shù)來幫助保護(hù)你的 API。