聚焦API安全｜綠盟科技發(fā)布下一代WEB安全防護(hù)解決方案

　　API成為Web應(yīng)用防護(hù)的下一個(gè)焦點(diǎn)

　　IDC在2022年發(fā)布了中國(guó)數(shù)字化轉(zhuǎn)型十大預(yù)測(cè)，其中應(yīng)用現(xiàn)代化與敏捷業(yè)務(wù)戰(zhàn)略里，都涉及到了一個(gè)不可忽視的主角——API。在應(yīng)用開發(fā)階段，API是標(biāo)準(zhǔn)的業(yè)務(wù)接口;在對(duì)接第三方服務(wù)時(shí)，API則是較為常見的選擇;在微服務(wù)架構(gòu)中，微服務(wù)間的通信促使API已然成為標(biāo)配。未來(lái)，隨著企業(yè)選擇敏捷業(yè)務(wù)戰(zhàn)略的方式發(fā)展，會(huì)將更多的精力投入在業(yè)務(wù)，而非基礎(chǔ)能力建設(shè)，研發(fā)體系、商務(wù)模式的改變都將接踵而至。企業(yè)將會(huì)開發(fā)、上線更多API對(duì)系統(tǒng)內(nèi)外部賦能，同時(shí)采購(gòu)更多的第三方細(xì)分能力的解決方案。API在未來(lái)將無(wú)處不在，也將成為應(yīng)用安全領(lǐng)域除WEB應(yīng)用外的下一個(gè)核心保護(hù)對(duì)象。

　　API安全主要由三部分組成 —— API發(fā)現(xiàn)、訪問控制以及威脅防御。由于API發(fā)現(xiàn)涉及到設(shè)計(jì)、編碼及整體網(wǎng)絡(luò)部署，且需要具備主被動(dòng)識(shí)別能力，較小的篇幅無(wú)法展開，我們后續(xù)詳細(xì)闡述。本文將就訪問控制與威脅防御兩點(diǎn)，闡述綠盟科技在下一代WEB應(yīng)用防護(hù)體系建設(shè)的思考與方案。

　　API脆弱性加劇了網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)和業(yè)務(wù)風(fēng)控難度

　　API自身的無(wú)狀態(tài)性、對(duì)請(qǐng)求中資源的可識(shí)別性、刪除/修改服務(wù)端資源的可操作性、以及服務(wù)端返回的足夠詳細(xì)的信息所帶來(lái)的資源暴露面的擴(kuò)大等，這些脆弱性成為API被攻擊的天然漏洞，都促使API的攻擊數(shù)量呈指數(shù)級(jí)增長(zhǎng)。

　　面對(duì)如此之多的API攻擊，OWASP組織就關(guān)注度最高的API風(fēng)險(xiǎn)，總結(jié)出了OWASP API Security TOP 10，一方面體現(xiàn)出當(dāng)前最常見的API問題;另一方面，也對(duì)API的開發(fā)及安全人員給出有效指導(dǎo)，更加有針對(duì)性的實(shí)施安全策略。

　　API安全是落在Web安全的范圍內(nèi)，但基于API的使用特性，API安全落腳點(diǎn)更為精細(xì)與聚焦。例如在API TOP 10中關(guān)注較高的，像A1和A5都主要是授權(quán)相關(guān)(eg，橫/縱向越權(quán))，A2和A4中表現(xiàn)出的場(chǎng)景大多是與自動(dòng)化工具的利用相關(guān)(eg，賬號(hào)接管、暴力破解、資源濫用、DDoS)，與Web TOP 10相比API TOP 10的關(guān)注點(diǎn)有著與API使用特性較為明顯的關(guān)聯(lián)與傾斜。站在企業(yè)用戶視角，TOP 10的API安全風(fēng)險(xiǎn)組合后所帶來(lái)的業(yè)務(wù)威脅影響，將會(huì)大大影響安全體系的設(shè)計(jì)理念。

　　Source：API安全管理論壇

　　(1)面對(duì)業(yè)務(wù)創(chuàng)新的驅(qū)動(dòng)，保障業(yè)務(wù)快速發(fā)布的同時(shí)，如何保障安全同步?

　　(2)如何判斷未被WAF阻斷的正常請(qǐng)求中，哪些是常規(guī)業(yè)務(wù)請(qǐng)求，哪些是惡意調(diào)用?

　　(3)如何避免拖庫(kù)事件的發(fā)生?用戶的賬號(hào)、手機(jī)號(hào)、密碼、交易記錄等敏感信息的泄露，會(huì)導(dǎo)致直接的社會(huì)負(fù)面影響及觸犯監(jiān)管法規(guī)的要求。

　　(4)如何對(duì)業(yè)務(wù)訪問進(jìn)行識(shí)別，避免薅羊毛、批量注冊(cè)一類惡意事件的發(fā)生?

　　(5)如何對(duì)現(xiàn)有API資產(chǎn)進(jìn)行梳理?如何對(duì)發(fā)起調(diào)用的客戶端進(jìn)行權(quán)限確認(rèn)，是否存在橫、縱向越權(quán)帶來(lái)的主機(jī)失陷的嚴(yán)重后果?

　　(6)如何進(jìn)行業(yè)務(wù)API管理，避免廢棄、內(nèi)部API不會(huì)被攻擊者發(fā)現(xiàn)及利用?

　　(7)內(nèi)部API之間的調(diào)用常態(tài)化，內(nèi)部環(huán)境被暴露的風(fēng)險(xiǎn)顯著提高，如何避免內(nèi)部遭受攻擊，以及一旦發(fā)生攻擊后，如何進(jìn)行范圍控制，避免做為跳板實(shí)施全盤失陷的嚴(yán)重后果?

　　解決API問題，首要的是將API安全定位于一個(gè)新的防護(hù)對(duì)象，而非僅僅保護(hù)網(wǎng)站中的API

　　防護(hù)對(duì)象的擴(kuò)展，攻擊手段的工具化，惡意行為趨于合法化，攻擊側(cè)重點(diǎn)從漏洞利用，到資源濫用、訪問控制，以及持續(xù)增長(zhǎng)的未被納入管理的API接口，都需要我們對(duì)安全架構(gòu)進(jìn)行升級(jí)，需要在原有WAF能力的基礎(chǔ)上，添加API識(shí)別能力、防護(hù)能力、Bot管理能力，同時(shí)提供接口，支持便捷、自動(dòng)化的API防護(hù)對(duì)象導(dǎo)入、上傳，以達(dá)到覆蓋更全面的使用場(chǎng)景。

　　我們將上述的目標(biāo)，拆分為兩個(gè)方向——技術(shù)層面(防護(hù)能力)，業(yè)務(wù)層面(適配能力)。

　　技術(shù)層面

　　我們面臨的威脅主要有Web漏洞利用、資源濫用、資源訪問控制，對(duì)應(yīng)的防護(hù)能力下，應(yīng)該具備WAF、API發(fā)現(xiàn)、API訪問控制、API威脅防護(hù)、Bot防護(hù)和Bot畫像多項(xiàng)能力。

　　API做為承載業(yè)務(wù)的基石，實(shí)現(xiàn)其資產(chǎn)梳理、敏感數(shù)據(jù)分類、合規(guī)檢測(cè)，可以輔助用戶有效的實(shí)現(xiàn)訪問控制;調(diào)用資源管控，配合Bot檢測(cè)有效地規(guī)避濫用場(chǎng)景。而威脅檢測(cè)、權(quán)限控制，則可在漏洞利用防護(hù)的基礎(chǔ)上，進(jìn)而補(bǔ)充業(yè)務(wù)邏輯防護(hù)，更有效的進(jìn)行業(yè)務(wù)風(fēng)險(xiǎn)評(píng)估與加固。

　　識(shí)別Bot，識(shí)別惡意Bot，進(jìn)而識(shí)別善于偽裝的高級(jí)Bot，是所需要考慮的第一層面。基于Bot行為，分析Bot意圖，評(píng)估業(yè)務(wù)面臨的風(fēng)險(xiǎn)并進(jìn)行預(yù)警，對(duì)Bot進(jìn)行溯源追蹤、聚類分析，一方面可以更加有效的幫助企業(yè)客戶及時(shí)發(fā)現(xiàn)問題，針對(duì)性的進(jìn)行安全策略的調(diào)整與業(yè)務(wù)加固;另一方面，生產(chǎn)并共享Bot情報(bào)，為后續(xù)Bot的變身出現(xiàn)，做到先于攻擊行動(dòng)前進(jìn)行發(fā)現(xiàn)。

　　業(yè)務(wù)環(huán)境適配層面

　　1、按基礎(chǔ)環(huán)境：面對(duì)客戶場(chǎng)景不同的業(yè)務(wù)組件，需靈活接入;

　　2、按上云節(jié)奏：客戶本地、云端、多云部署業(yè)務(wù)，需統(tǒng)一管控;

　　3、按業(yè)務(wù)發(fā)展：先進(jìn)技術(shù)云原生、微服務(wù)，需輕量適配;

　　4、按暴露面：確保所有對(duì)外的API流量，持續(xù)注冊(cè)在威脅防護(hù)設(shè)備上;

　　防護(hù)對(duì)象、防護(hù)場(chǎng)景、防護(hù)能力的變化，綠盟科技推出下一代WEB安全防護(hù)解決方案

　　在2021年，Gartner 正式將Web Application API Protection(WAAP)定義為Web Application Firewall(WAF)市場(chǎng)的下一階段，將WAF能力擴(kuò)展為4個(gè)核心功能特性：WAF、DDoS防護(hù)、Bot管理和API防護(hù)。[4]

　　我們從企業(yè)客戶在API風(fēng)險(xiǎn)中遭遇最多的“漏洞利用”問題出發(fā)，選擇與之對(duì)應(yīng)的防護(hù)能力WAF為出發(fā)點(diǎn)，提供包含DDoS防護(hù)、Bot流量管理、WAF、API防護(hù)于一體的下一代WEB安全防護(hù)解決方案，保障用戶的Web應(yīng)用防護(hù)及API安全防護(hù)。后文我們引用Gartner對(duì)于該解決方案的簡(jiǎn)稱WAAP進(jìn)行方案介紹。

　　橫向擴(kuò)展覆蓋更全用戶場(chǎng)景，對(duì)外解決身披“合法身份”進(jìn)行賬號(hào)接管、黃牛黨、薅羊毛這些引發(fā)敏感數(shù)據(jù)泄露、業(yè)務(wù)負(fù)載大，造成客戶經(jīng)濟(jì)、聲譽(yù)雙重受損的問題;對(duì)內(nèi)幫助客戶梳理API資產(chǎn)，分類安置，基于不同的API類型，按行為、按權(quán)限、按上下文邏輯，在合規(guī)檢測(cè)的基礎(chǔ)上、解決API越權(quán)、濫用等多方面問題。

　　縱向延伸深挖產(chǎn)品領(lǐng)域技術(shù)，識(shí)別新問題，跟進(jìn)新熱點(diǎn)，保持前瞻性。方案的設(shè)計(jì)有以下四個(gè)維度：

　　維度一：?jiǎn)吸c(diǎn)聚焦核心能力

　　1、Bot防護(hù)：精準(zhǔn)實(shí)現(xiàn)Bot流量識(shí)別與降噪，降低網(wǎng)站漏洞暴露以及業(yè)務(wù)側(cè)攻擊的風(fēng)險(xiǎn);對(duì)攻擊者意圖進(jìn)行深度分析、攻擊者路徑追蹤溯源、業(yè)務(wù)風(fēng)險(xiǎn)告警與標(biāo)識(shí)等，從而在提供安全保障的同時(shí)極大地減輕了客戶運(yùn)維成本。

　　國(guó)際權(quán)威機(jī)構(gòu)Forrester，從技術(shù)水準(zhǔn)、市場(chǎng)份額等多方面，面向全球格局對(duì)Bot管理技術(shù)進(jìn)行安全廠商調(diào)研，綠盟科技做為中國(guó)安全企業(yè)代表，被列入《Now Tech:Bot Management,Q4 2021》報(bào)告。[5]

　　2、API防護(hù)：通過主動(dòng)被動(dòng)相結(jié)合的方式，輔助客戶進(jìn)行完善的API資產(chǎn)梳理;結(jié)合自動(dòng)生成的API基線及導(dǎo)入的OAS文件，進(jìn)行API合規(guī)檢測(cè);支持解析多協(xié)議流量，進(jìn)行攻擊流量過濾，同時(shí)關(guān)聯(lián)惡意Bot行為分析，進(jìn)而達(dá)到保障合法用戶正常訪問、拒絕非法用戶訪問、扼止越權(quán)訪問、阻斷惡意漏洞攻擊、規(guī)避敏感數(shù)據(jù)泄露等風(fēng)險(xiǎn)。

　　綠盟科技做為中國(guó)安全企業(yè)代表，被Forrester列入最新的《Now Tech:Web Application Firewalls,Q2 2022》報(bào)告。[6]

　　維度二：多種產(chǎn)品形態(tài)，適配客戶不同階段環(huán)境

　　1、硬件、虛擬化都支持：多款集群方案，無(wú)論是對(duì)接F5反代不改源IP，還是插件式部署，對(duì)接Nginx不改網(wǎng)絡(luò)拓?fù)�，抑或是統(tǒng)一流量編排，面向客戶不同部署環(huán)境，保障業(yè)務(wù)高穩(wěn)定、高可用。

　　2、虛擬WAF：配合業(yè)務(wù)上云節(jié)奏，對(duì)接14種品類云平臺(tái)，保障客戶業(yè)務(wù)無(wú)憂上云。

　　3、云原生WAF：伴隨應(yīng)用的云原生化，將安全能力適配云原生架構(gòu)，融入微服務(wù)場(chǎng)景。提供適配K8S、Ingress controller部署的容器化WAF，并進(jìn)階提供適配envoy服務(wù)網(wǎng)格架構(gòu)的云原生WAF，輕量級(jí)、無(wú)感知的與微服務(wù)應(yīng)用伴生，解決東西向防護(hù)需求，覆蓋數(shù)千容器運(yùn)維管理場(chǎng)景。

　　4、硬件、虛擬化都支持：產(chǎn)品能力組件化。為進(jìn)行全面防護(hù)，原有產(chǎn)品以糖葫蘆式堆疊部署，流量挨個(gè)串行解析，每個(gè)節(jié)點(diǎn)均為單點(diǎn)故障點(diǎn)，整體時(shí)延加長(zhǎng)，數(shù)通層面重復(fù)加載，各自為營(yíng)。通過實(shí)現(xiàn)安全引擎組件化，解耦隔離數(shù)通層與安全防護(hù)層，流量一次解析，按需動(dòng)態(tài)加載防護(hù)能力。保障業(yè)務(wù)高穩(wěn)定的前提下，提供輕量級(jí)、靈活化的防護(hù)能力。

　　維度三：步步為營(yíng)，協(xié)同合作

　　1、按需組合：抗D防護(hù)，識(shí)別DDoS攻擊，進(jìn)行大額流量清洗。Web安全防護(hù)，面向URL、API，阻斷漏洞利用攻擊，進(jìn)行“黑”流量清洗。Bot管理，識(shí)別自動(dòng)化工具，客戶端環(huán)境驗(yàn)證，進(jìn)行“灰”流量清洗。API安全防護(hù)，識(shí)別越權(quán)、生成業(yè)務(wù)圖譜，進(jìn)行“白”流量辨別。

　　結(jié)合客戶防護(hù)優(yōu)先級(jí)，支持靈活組合產(chǎn)品能力，基于實(shí)際業(yè)務(wù)場(chǎng)景提供專屬特色方案，保障Web應(yīng)用、移動(dòng)應(yīng)用、API免受各種不同的攻擊。

　　2、前后呼應(yīng)：經(jīng)過API網(wǎng)關(guān)認(rèn)證后的合法身份，若被檢測(cè)有攻擊行為，支持與API網(wǎng)關(guān)聯(lián)動(dòng)，進(jìn)行身份封禁。

　　3、安全左移：支持對(duì)接包含代碼掃描、應(yīng)用掃描后的漏洞掃描結(jié)果，針對(duì)漏洞信息，提供不同層面的智能補(bǔ)丁，保障業(yè)務(wù)快速發(fā)布的同時(shí)，代碼加固同步配合。

　　維度四：可提供WAAP端側(cè)能力，也支持WAAP平臺(tái)側(cè)服務(wù)

　　一體化管理的端側(cè)能力：輕量化的docker部署，摒棄底層依賴;基于業(yè)務(wù)流量變化，動(dòng)態(tài)加載安全組件數(shù)量;端側(cè)流量統(tǒng)一編排，擬人化的安全配置界面(同一產(chǎn)品，不分?jǐn)?shù)量，一處配置入口)。

　　多維展示的平臺(tái)側(cè)服務(wù)：面向運(yùn)維，統(tǒng)一管控多個(gè)端側(cè);面向用戶，用戶資產(chǎn)風(fēng)險(xiǎn)完整性評(píng)估;匯集端側(cè)數(shù)據(jù)，關(guān)聯(lián)分析攻擊信息，輸出全面的攻擊面像。

　　在客戶場(chǎng)景下的實(shí)際應(yīng)用

　　簡(jiǎn)而言之，面對(duì)企業(yè)用戶在業(yè)務(wù)、規(guī)模的不同發(fā)展階段、行業(yè)屬性所帶來(lái)的不同側(cè)重的風(fēng)險(xiǎn)問題、不同的優(yōu)先級(jí)，以及部署位置的不同，都可以結(jié)合綠盟科技的WAAP產(chǎn)品方案，選擇貼合自身需求的方案組成與產(chǎn)品形態(tài)。

　　這里做三種場(chǎng)景下不同解決方案選擇的簡(jiǎn)單舉例：

　　場(chǎng)景一：客戶合規(guī)為主，在漏洞利用防護(hù)的基礎(chǔ)上，面臨數(shù)據(jù)爬取、惡意掃描、惡意注冊(cè)的困境。

　　解決方案：配置集Web安全、Bot管理、API安全為一體的WAF型號(hào)，或者通過WAF升級(jí)，新增Bot管理、API安全功能模塊。為用戶提供快速、全面的安全能力。

　　場(chǎng)景二：客戶業(yè)務(wù)場(chǎng)景多元，如互聯(lián)網(wǎng)電商企業(yè)、醫(yī)院、國(guó)家電網(wǎng)，有更趨向于業(yè)務(wù)安全的薅羊毛、庫(kù)存占用、惡意競(jìng)價(jià)、拖庫(kù)、賬號(hào)接管、黃牛黨等場(chǎng)景。

　　解決方案：在已有WAF產(chǎn)品的基礎(chǔ)上，可加購(gòu)提供更加專業(yè)化方案的Bot管理產(chǎn)品(BMG)，在應(yīng)用安全防護(hù)的基礎(chǔ)上，提供業(yè)務(wù)安全防護(hù)能力。

　　場(chǎng)景三：云原生環(huán)境。面向節(jié)假日，流量波動(dòng)大。既有南北，也有東西向防護(hù)需求，需要防護(hù)產(chǎn)品更貼近業(yè)務(wù)側(cè)，而不僅僅是在網(wǎng)關(guān)處，集群部署，統(tǒng)一運(yùn)維，風(fēng)險(xiǎn)集中管控。

　　解決方案：打包提供WAAP端側(cè)及WAAP平臺(tái)側(cè)能力，面向每個(gè)業(yè)務(wù)伴生發(fā)布云原生安全組件，通過最小粒度組件化的安全引擎進(jìn)行進(jìn)行安全能力加載，結(jié)合業(yè)務(wù)流量的變化，動(dòng)態(tài)加載安全組件數(shù)量，提供統(tǒng)一的運(yùn)維管理及業(yè)務(wù)風(fēng)險(xiǎn)管理可視化界面。

　　總結(jié)

　　隨著API以及線上業(yè)務(wù)的開展，綠盟科技也將持續(xù)提升針對(duì)OWASP TOP 10 、OWASP API Security TOP 10、OWASP Automated Threats的威脅防御能力，為企業(yè)線上的數(shù)字化業(yè)務(wù)提供堅(jiān)實(shí)的安全防護(hù)。后續(xù)，我們將更加深入的介紹下一代應(yīng)用安全防護(hù)解決方案中的產(chǎn)品提供的價(jià)值及特性，期待與行業(yè)同仁一道，攜手推進(jìn)安全領(lǐng)域的進(jìn)一步健康發(fā)展，共同應(yīng)對(duì)應(yīng)用安全防護(hù)的新挑戰(zhàn)。

　　參考文獻(xiàn)

　　1  State of API Security, Salt Labs Q1 2022.5.

　　2  The State of the Internet, Akamai.

　　3  Protecting Your APIs From Abuse Data Exfiltration, Cloudflare.

　　4  Magic Quadrant for Web Application API Protection, 20 September 2021.