WAAP(Web應(yīng)用和API保護平臺)是帶著“下一代WAF”光環(huán)出道的，旨在超越傳統(tǒng)WAF基于簽名的攻擊防護方式，并為用戶提供額外的API保護功能。從本質(zhì)上看，WAAP是一種更高級的WAF方案。那么，如果企業(yè)使用了WAAP方案，是否還需要部署專用的API安全性產(chǎn)品?在WAAP方案中所融合的API防護能力，可以實現(xiàn)企業(yè)所需要的整體API安全防護策略嗎?

目前，WAAP方案所覆蓋的API安全能力主要包括了API文檔支持、模式分析和驗證以及API資產(chǎn)發(fā)現(xiàn)，這對于保護API應(yīng)用免受一系列預(yù)先設(shè)置的攻擊(包括SQL注入、代碼執(zhí)行和DDoS攻擊)至關(guān)重要。但是需要指出的是，目前的WAAP方案只能解決API安全威脅中的一部分，因為每個API應(yīng)用都有自己的底層業(yè)務(wù)邏輯和功能。為了防止API被濫用，企業(yè)需要充分了解其應(yīng)用流量的變化，而這并不是WAF或其進化產(chǎn)物WAAP所能夠?qū)崿F(xiàn)的。

因此，隨著現(xiàn)代企業(yè)組織API應(yīng)用的激增，基于WAF或WAAP的防御措施不足以應(yīng)對如今更復(fù)雜和多樣化的API攻擊威脅。WAAP是在傳統(tǒng)WAF方案上的發(fā)展演進，添加一些特定的API保護功能。但如果企業(yè)組織想要對所有的API安全威脅都有可見性，那僅靠WAAP方案的API防護能力是遠遠不夠的。

API攻擊的方式與傳統(tǒng)的應(yīng)用程序攻擊有很大不同。隨著企業(yè)組織數(shù)字化轉(zhuǎn)型的深入發(fā)展，其業(yè)務(wù)系統(tǒng)上的API應(yīng)用數(shù)量也在不斷激增，改變和擴大了組織的攻擊面。由于每個API應(yīng)用都有自己獨特的業(yè)務(wù)邏輯，所以每次API攻擊都是唯一性的，攻擊者會做大量的探測來發(fā)現(xiàn)可以利用的API漏洞。這種偵察活動可能需要幾天、幾周甚至幾個月的執(zhí)行時間。如果不借助適當(dāng)?shù)纳舷挛男畔z測，攻擊者可以很輕松地在整個攻擊生命周期中隱藏或偽裝他們的攻擊行為。

就API安全防護而言，組織需要深入和廣泛的上下文分析來發(fā)現(xiàn)潛在的威脅，僅僅依靠WAAP來提供運行時保護會使API應(yīng)用存在幾個關(guān)鍵的安全隱患。具體來說，WAAP通常缺乏上下文和智能驅(qū)動的能力，因此難以實現(xiàn)以下防護能力：

1、WAAP無法監(jiān)控較長時間的API攻擊

API攻擊的生命周期一般很長，因為攻擊者需要不斷地探測API，以發(fā)現(xiàn)可被利用的漏洞。由于WAAP方案缺乏對長期業(yè)務(wù)活動的可見性，因此它們無法發(fā)現(xiàn)惡意行為者為攻擊API所進行的持續(xù)性偵察活動。為了保護API及其所傳輸?shù)拿舾袛?shù)據(jù)，企業(yè)不能只是在攻擊危害產(chǎn)生后才開始被動應(yīng)對。即使沒有API攻擊的所有細節(jié)，但企業(yè)通過分析適當(dāng)?shù)腁PI應(yīng)用上下文，也應(yīng)該更早地識別出攻擊。

2、WAAP無法識別API的行為異常

除了隨時間建立的可見性，API安全解決方案還必須能夠精確識別與API攻擊活動相關(guān)的異常行為，包括擴展偵察活動、API濫用以及業(yè)務(wù)邏輯操縱攻擊。許多API應(yīng)用都在假設(shè)存在業(yè)務(wù)邏輯缺陷和濫用可能性的情況下運行。這是因為企業(yè)知道，在開發(fā)和測試周期中識別和清除所有的業(yè)務(wù)邏輯缺陷和漏洞是非常困難的。因此，準(zhǔn)確識別行為異常和用戶意圖的能力是API安全策略中最關(guān)鍵的部分。API攻擊是基于一系列活動的行為攻擊，高級API安全解決方案可以判斷生態(tài)系統(tǒng)中什么代表“正?！毙袨?，什么代表可能潛在威脅的“異常”行為。而WAAP方案更善于尋找已知的攻擊模式，由于缺乏行為上下文，WAAP無法可靠地區(qū)分“普通”和“異?！钡腁PI行為，從而觸發(fā)危險信號。

3、WAAP缺乏主動學(xué)習(xí)能力

基于人工智能的安全解決方案，最大特點就是可以從各種遇到的安全問題中主動“學(xué)習(xí)”。在安全系統(tǒng)中使用這種學(xué)習(xí)能力可以更準(zhǔn)確地檢測并驅(qū)動更有效的響應(yīng)措施。利用云級(cloud-scale)大數(shù)據(jù)的力量，在一個客戶的環(huán)境中學(xué)習(xí)不僅可以豐富算法，反過來也可以使其他客戶受益，因為學(xué)習(xí)來帶的能力提升是以指數(shù)級方式增長的。但很可惜，目前的WAAP方案仍然缺乏這種主動學(xué)習(xí)的能力。

4、WAAP不能辨別用戶的意圖

云級、成熟的AI和ML模型可以分析大量的數(shù)據(jù)和流量，在大量的結(jié)構(gòu)和行為屬性中搜索簽名和模式。但這并非WAAP所能做的事情。由于API經(jīng)常被濫用，即便人們完全按照設(shè)計使用它們。如果攻擊者出于惡意目的竊取并使用合法訪問憑證針對特權(quán)API，WAAP通常無法發(fā)現(xiàn)攻擊者未經(jīng)授權(quán)的訪問及其偽裝攻擊。如果沒有用戶行為的上下文，這些訪問行為對于WAAP的檢測機制來說都是合法的。因為WAAP不能在應(yīng)用程序堆棧的不同應(yīng)用層之間提供完整可見性，所以它們不能信息關(guān)聯(lián)發(fā)現(xiàn)潛在的威脅。

結(jié)語

不可否認(rèn)，WAAP比WAF更先進，也可以在企業(yè)完整的API安全防護體系中發(fā)揮著重要作用，但它并不能全面解決API安全問題。WAAP方案很難具備深度和廣度的可見性，以及智能并隨時間變化的上下文分析能力，來防御不斷演變的API攻擊。僅僅依靠WAAP來保護API安全將會留下大量的安全盲點，將組織置于危險之中。為了全面保護企業(yè)的API生態(tài)系統(tǒng)，除了應(yīng)用WAAP之外，組織還需要適當(dāng)?shù)腁PI安全運行時保護措施。

參考鏈接：

??https://salt.security/blog/critical-api-security-gaps-in-waaps???