API成為Web應用防護的下一個焦點
IDC在2022年發(fā)布了中國數(shù)字化轉型十大預測,其中應用現(xiàn)代化與敏捷業(yè)務戰(zhàn)略里,都涉及到了一個不可忽視的主角——API。在應用開發(fā)階段,API是標準的業(yè)務接口;在對接第三方服務時,API則是較為常見的選擇;在微服務架構中,微服務間的通信促使API已然成為標配。未來,隨著企業(yè)選擇敏捷業(yè)務戰(zhàn)略的方式發(fā)展,會將更多的精力投入在業(yè)務,而非基礎能力建設,研發(fā)體系、商務模式的改變都將接踵而至。企業(yè)將會開發(fā)、上線更多API對系統(tǒng)內(nèi)外部賦能,同時采購更多的第三方細分能力的解決方案。API在未來將無處不在,也將成為應用安全領域除WEB應用外的下一個核心保護對象。
API安全主要由三部分組成 —— API發(fā)現(xiàn)、訪問控制以及威脅防御。由于API發(fā)現(xiàn)涉及到設計、編碼及整體網(wǎng)絡部署,且需要具備主被動識別能力,較小的篇幅無法展開,我們后續(xù)詳細闡述。本文將就訪問控制與威脅防御兩點,闡述綠盟科技在下一代WEB應用防護體系建設的思考與方案。
API脆弱性加劇了網(wǎng)絡攻擊風險和業(yè)務風控難度
API自身的無狀態(tài)性、對請求中資源的可識別性、刪除/修改服務端資源的可操作性、以及服務端返回的足夠詳細的信息所帶來的資源暴露面的擴大等,這些脆弱性成為API被攻擊的天然漏洞,都促使API的攻擊數(shù)量呈指數(shù)級增長。
面對如此之多的API攻擊,OWASP組織就關注度最高的API風險,總結出了OWASP API Security TOP 10,一方面體現(xiàn)出當前最常見的API問題;另一方面,也對API的開發(fā)及安全人員給出有效指導,更加有針對性的實施安全策略。
API安全是落在Web安全的范圍內(nèi),但基于API的使用特性,API安全落腳點更為精細與聚焦。例如在API TOP 10中關注較高的,像A1和A5都主要是授權相關(eg,橫/縱向越權),A2和A4中表現(xiàn)出的場景大多是與自動化工具的利用相關(eg,賬號接管、暴力破解、資源濫用、DDoS),與Web TOP 10相比API TOP 10的關注點有著與API使用特性較為明顯的關聯(lián)與傾斜。站在企業(yè)用戶視角,TOP 10的API安全風險組合后所帶來的業(yè)務威脅影響,將會大大影響安全體系的設計理念。
Source:API安全管理論壇
(1)面對業(yè)務創(chuàng)新的驅動,保障業(yè)務快速發(fā)布的同時,如何保障安全同步?
(2)如何判斷未被WAF阻斷的正常請求中,哪些是常規(guī)業(yè)務請求,哪些是惡意調用?
(3)如何避免拖庫事件的發(fā)生?用戶的賬號、手機號、密碼、交易記錄等敏感信息的泄露,會導致直接的社會負面影響及觸犯監(jiān)管法規(guī)的要求。
(4)如何對業(yè)務訪問進行識別,避免薅羊毛、批量注冊一類惡意事件的發(fā)生?
(5)如何對現(xiàn)有API資產(chǎn)進行梳理?如何對發(fā)起調用的客戶端進行權限確認,是否存在橫、縱向越權帶來的主機失陷的嚴重后果?
(6)如何進行業(yè)務API管理,避免廢棄、內(nèi)部API不會被攻擊者發(fā)現(xiàn)及利用?
(7)內(nèi)部API之間的調用常態(tài)化,內(nèi)部環(huán)境被暴露的風險顯著提高,如何避免內(nèi)部遭受攻擊,以及一旦發(fā)生攻擊后,如何進行范圍控制,避免做為跳板實施全盤失陷的嚴重后果?
解決API問題,首要的是將API安全定位于一個新的防護對象,而非僅僅保護網(wǎng)站中的API
防護對象的擴展,攻擊手段的工具化,惡意行為趨于合法化,攻擊側重點從漏洞利用,到資源濫用、訪問控制,以及持續(xù)增長的未被納入管理的API接口,都需要我們對安全架構進行升級,需要在原有WAF能力的基礎上,添加API識別能力、防護能力、Bot管理能力,同時提供接口,支持便捷、自動化的API防護對象導入、上傳,以達到覆蓋更全面的使用場景。
我們將上述的目標,拆分為兩個方向——技術層面(防護能力),業(yè)務層面(適配能力)。
技術層面
我們面臨的威脅主要有Web漏洞利用、資源濫用、資源訪問控制,對應的防護能力下,應該具備WAF、API發(fā)現(xiàn)、API訪問控制、API威脅防護、Bot防護和Bot畫像多項能力。
API做為承載業(yè)務的基石,實現(xiàn)其資產(chǎn)梳理、敏感數(shù)據(jù)分類、合規(guī)檢測,可以輔助用戶有效的實現(xiàn)訪問控制;調用資源管控,配合Bot檢測有效地規(guī)避濫用場景。而威脅檢測、權限控制,則可在漏洞利用防護的基礎上,進而補充業(yè)務邏輯防護,更有效的進行業(yè)務風險評估與加固。
識別Bot,識別惡意Bot,進而識別善于偽裝的高級Bot,是所需要考慮的第一層面;贐ot行為,分析Bot意圖,評估業(yè)務面臨的風險并進行預警,對Bot進行溯源追蹤、聚類分析,一方面可以更加有效的幫助企業(yè)客戶及時發(fā)現(xiàn)問題,針對性的進行安全策略的調整與業(yè)務加固;另一方面,生產(chǎn)并共享Bot情報,為后續(xù)Bot的變身出現(xiàn),做到先于攻擊行動前進行發(fā)現(xiàn)。
業(yè)務環(huán)境適配層面
1、按基礎環(huán)境:面對客戶場景不同的業(yè)務組件,需靈活接入;
2、按上云節(jié)奏:客戶本地、云端、多云部署業(yè)務,需統(tǒng)一管控;
3、按業(yè)務發(fā)展:先進技術云原生、微服務,需輕量適配;
4、按暴露面:確保所有對外的API流量,持續(xù)注冊在威脅防護設備上;
防護對象、防護場景、防護能力的變化,綠盟科技推出下一代WEB安全防護解決方案
在2021年,Gartner 正式將Web Application API Protection(WAAP)定義為Web Application Firewall(WAF)市場的下一階段,將WAF能力擴展為4個核心功能特性:WAF、DDoS防護、Bot管理和API防護。[4]
我們從企業(yè)客戶在API風險中遭遇最多的“漏洞利用”問題出發(fā),選擇與之對應的防護能力WAF為出發(fā)點,提供包含DDoS防護、Bot流量管理、WAF、API防護于一體的下一代WEB安全防護解決方案,保障用戶的Web應用防護及API安全防護。后文我們引用Gartner對于該解決方案的簡稱WAAP進行方案介紹。
橫向擴展覆蓋更全用戶場景,對外解決身披“合法身份”進行賬號接管、黃牛黨、薅羊毛這些引發(fā)敏感數(shù)據(jù)泄露、業(yè)務負載大,造成客戶經(jīng)濟、聲譽雙重受損的問題;對內(nèi)幫助客戶梳理API資產(chǎn),分類安置,基于不同的API類型,按行為、按權限、按上下文邏輯,在合規(guī)檢測的基礎上、解決API越權、濫用等多方面問題。
縱向延伸深挖產(chǎn)品領域技術,識別新問題,跟進新熱點,保持前瞻性。方案的設計有以下四個維度:
維度一:單點聚焦核心能力
1、Bot防護:精準實現(xiàn)Bot流量識別與降噪,降低網(wǎng)站漏洞暴露以及業(yè)務側攻擊的風險;對攻擊者意圖進行深度分析、攻擊者路徑追蹤溯源、業(yè)務風險告警與標識等,從而在提供安全保障的同時極大地減輕了客戶運維成本。
國際權威機構Forrester,從技術水準、市場份額等多方面,面向全球格局對Bot管理技術進行安全廠商調研,綠盟科技做為中國安全企業(yè)代表,被列入《Now Tech:Bot Management,Q4 2021》報告。[5]
2、API防護:通過主動被動相結合的方式,輔助客戶進行完善的API資產(chǎn)梳理;結合自動生成的API基線及導入的OAS文件,進行API合規(guī)檢測;支持解析多協(xié)議流量,進行攻擊流量過濾,同時關聯(lián)惡意Bot行為分析,進而達到保障合法用戶正常訪問、拒絕非法用戶訪問、扼止越權訪問、阻斷惡意漏洞攻擊、規(guī)避敏感數(shù)據(jù)泄露等風險。
綠盟科技做為中國安全企業(yè)代表,被Forrester列入最新的《Now Tech:Web Application Firewalls,Q2 2022》報告。[6]
維度二:多種產(chǎn)品形態(tài),適配客戶不同階段環(huán)境
1、硬件、虛擬化都支持:多款集群方案,無論是對接F5反代不改源IP,還是插件式部署,對接Nginx不改網(wǎng)絡拓撲,抑或是統(tǒng)一流量編排,面向客戶不同部署環(huán)境,保障業(yè)務高穩(wěn)定、高可用。
2、虛擬WAF:配合業(yè)務上云節(jié)奏,對接14種品類云平臺,保障客戶業(yè)務無憂上云。
3、云原生WAF:伴隨應用的云原生化,將安全能力適配云原生架構,融入微服務場景。提供適配K8S、Ingress controller部署的容器化WAF,并進階提供適配envoy服務網(wǎng)格架構的云原生WAF,輕量級、無感知的與微服務應用伴生,解決東西向防護需求,覆蓋數(shù)千容器運維管理場景。
4、硬件、虛擬化都支持:產(chǎn)品能力組件化。為進行全面防護,原有產(chǎn)品以糖葫蘆式堆疊部署,流量挨個串行解析,每個節(jié)點均為單點故障點,整體時延加長,數(shù)通層面重復加載,各自為營。通過實現(xiàn)安全引擎組件化,解耦隔離數(shù)通層與安全防護層,流量一次解析,按需動態(tài)加載防護能力。保障業(yè)務高穩(wěn)定的前提下,提供輕量級、靈活化的防護能力。
維度三:步步為營,協(xié)同合作
1、按需組合:抗D防護,識別DDoS攻擊,進行大額流量清洗。Web安全防護,面向URL、API,阻斷漏洞利用攻擊,進行“黑”流量清洗。Bot管理,識別自動化工具,客戶端環(huán)境驗證,進行“灰”流量清洗。API安全防護,識別越權、生成業(yè)務圖譜,進行“白”流量辨別。
結合客戶防護優(yōu)先級,支持靈活組合產(chǎn)品能力,基于實際業(yè)務場景提供專屬特色方案,保障Web應用、移動應用、API免受各種不同的攻擊。
2、前后呼應:經(jīng)過API網(wǎng)關認證后的合法身份,若被檢測有攻擊行為,支持與API網(wǎng)關聯(lián)動,進行身份封禁。
3、安全左移:支持對接包含代碼掃描、應用掃描后的漏洞掃描結果,針對漏洞信息,提供不同層面的智能補丁,保障業(yè)務快速發(fā)布的同時,代碼加固同步配合。
維度四:可提供WAAP端側能力,也支持WAAP平臺側服務
一體化管理的端側能力:輕量化的docker部署,摒棄底層依賴;基于業(yè)務流量變化,動態(tài)加載安全組件數(shù)量;端側流量統(tǒng)一編排,擬人化的安全配置界面(同一產(chǎn)品,不分數(shù)量,一處配置入口)。
多維展示的平臺側服務:面向運維,統(tǒng)一管控多個端側;面向用戶,用戶資產(chǎn)風險完整性評估;匯集端側數(shù)據(jù),關聯(lián)分析攻擊信息,輸出全面的攻擊面像。
在客戶場景下的實際應用
簡而言之,面對企業(yè)用戶在業(yè)務、規(guī)模的不同發(fā)展階段、行業(yè)屬性所帶來的不同側重的風險問題、不同的優(yōu)先級,以及部署位置的不同,都可以結合綠盟科技的WAAP產(chǎn)品方案,選擇貼合自身需求的方案組成與產(chǎn)品形態(tài)。
這里做三種場景下不同解決方案選擇的簡單舉例:
場景一:客戶合規(guī)為主,在漏洞利用防護的基礎上,面臨數(shù)據(jù)爬取、惡意掃描、惡意注冊的困境。
解決方案:配置集Web安全、Bot管理、API安全為一體的WAF型號,或者通過WAF升級,新增Bot管理、API安全功能模塊。為用戶提供快速、全面的安全能力。
場景二:客戶業(yè)務場景多元,如互聯(lián)網(wǎng)電商企業(yè)、醫(yī)院、國家電網(wǎng),有更趨向于業(yè)務安全的薅羊毛、庫存占用、惡意競價、拖庫、賬號接管、黃牛黨等場景。
解決方案:在已有WAF產(chǎn)品的基礎上,可加購提供更加專業(yè)化方案的Bot管理產(chǎn)品(BMG),在應用安全防護的基礎上,提供業(yè)務安全防護能力。
場景三:云原生環(huán)境。面向節(jié)假日,流量波動大。既有南北,也有東西向防護需求,需要防護產(chǎn)品更貼近業(yè)務側,而不僅僅是在網(wǎng)關處,集群部署,統(tǒng)一運維,風險集中管控。
解決方案:打包提供WAAP端側及WAAP平臺側能力,面向每個業(yè)務伴生發(fā)布云原生安全組件,通過最小粒度組件化的安全引擎進行進行安全能力加載,結合業(yè)務流量的變化,動態(tài)加載安全組件數(shù)量,提供統(tǒng)一的運維管理及業(yè)務風險管理可視化界面。
總結
隨著API以及線上業(yè)務的開展,綠盟科技也將持續(xù)提升針對OWASP TOP 10 、OWASP API Security TOP 10、OWASP Automated Threats的威脅防御能力,為企業(yè)線上的數(shù)字化業(yè)務提供堅實的安全防護。后續(xù),我們將更加深入的介紹下一代應用安全防護解決方案中的產(chǎn)品提供的價值及特性,期待與行業(yè)同仁一道,攜手推進安全領域的進一步健康發(fā)展,共同應對應用安全防護的新挑戰(zhàn)。
參考文獻
1 State of API Security, Salt Labs Q1 2022.5.
2 The State of the Internet, Akamai.
3 Protecting Your APIs From Abuse Data Exfiltration, Cloudflare.
4 Magic Quadrant for Web Application API Protection, 20 September 2021.
文章內(nèi)容僅供閱讀,不構成投資建議,請謹慎對待。投資者據(jù)此操作,風險自擔。
2024年的Adobe MAX 2024發(fā)布會上,Adobe推出了最新版本的Adobe Creative Cloud。
奧維云網(wǎng)(AVC)推總數(shù)據(jù)顯示,2024年1-9月明火炊具線上零售額94.2億元,同比增加3.1%,其中抖音渠道表現(xiàn)優(yōu)異,同比有14%的漲幅,傳統(tǒng)電商略有下滑,同比降低2.3%。
“以前都要去窗口辦,一套流程下來都要半個月了,現(xiàn)在方便多了!”打開“重慶公積金”微信小程序,按照提示流程提交相關材料,僅幾秒鐘,重慶市民曾某的賬戶就打進了21600元。
華碩ProArt創(chuàng)藝27 Pro PA279CRV顯示器,憑借其優(yōu)秀的性能配置和精準的色彩呈現(xiàn)能力,為您的創(chuàng)作工作帶來實質性的幫助,雙十一期間低至2799元,性價比很高,簡直是創(chuàng)作者們的首選。
9月14日,2024全球工業(yè)互聯(lián)網(wǎng)大會——工業(yè)互聯(lián)網(wǎng)標識解析專題論壇在沈陽成功舉辦。