API成网络攻击的优先入口|攻防双方围绕API安全的博弈激烈

2022-05-09 13:13:57   来源:商业新知网

随着数字经济时代的到来,移动互联网业务场景迎来大爆发的同时,Web应用程序接口(API)也经历了指数级增长。

作为移动互联网生态的重要信息基础设施,API承载着数据交互的重要作用,在开发新的工具和产品或管理现有工具和产品时,强大灵活的API可以简化应用开发、管理和使用,节省时间和成本,为企业带来更多创新机遇。

瑞数信息在《2021 Bots自动化威胁报告》中提到,作为一种轻量化的技术,API在全球范围内受到企业组织的高度青睐,应用接口呈现爆发式增长。相比2019年,2020年API流量同比增长2.8倍,44%的企业正在建造和维护100个或更多的API。

但伴随越来越多的应用开发深度依赖于API之间的相互调用,API的绝对数量及调用量呈井喷式增长,其安全风险已经成为企业面临的首要问题,身份验证、授权和意外泄露或数据泄露等安全挑战随之而来。

Gartner也曾预测,到2022年,API滥用将成为导致企业Web应用程序数据泄露的最常见攻击媒介。

编辑搜图

API面临数据安全与业务安全的双重风险

API的高价值使之成为黑客的觊觎目标,API一旦被恶意利用,黑客有可能获取大量敏感数据,给企业带来严重损失。包括FaceBook、Linkedin这样具备一定安全能力的大型互联网公司都遭遇了因API安全问题导致的数据泄漏事件。

·2018年10月,Facebook对外公布了一起大规模数据泄露事件,攻击3000万用户的隐私账号信息被攻击者泄露。Facebook表示,攻击者利用了Facebook“ViewAs”功能接口的三个漏洞,用户可以通过该功能看到个人主页的展示样式,这一功能被攻击者利用获取了大量用户的隐私信息;

·2021年4月,一个自称GOD User TomLiner的攻击者通过API漏洞入侵了7亿多Linkedln用户的数据,并在 RaidForums暗网论坛上出售这些数据,领英回应称,该数据集是攻击者“从领英抓取的”。

针对API的攻击正成为黑灰产及黑客的首选,相较于传统窗体和Web页,API承载的数据价值更大、攻击成本更低,通过攻击API来获取高价值数据、进行业务欺诈等成为越来越多非法分子的常规手段。

传统API安全网关逐渐失灵

安全419在此前与多家安全厂商的沟通交流中了解到,甲方企业在API安全管理方面主要面临两大难题:

其一是,许多甲方企业对自身API资产情况并不掌握,不清楚自身企业当前有多少API,也不能保证当前每个API都具有很良好的访问控制。此外,就算很多企业都采购了API安全网关产品,但也不能保证所有的系统都会上网关。比如,在一些短期的营销活动中,相关的API就会被忽略,在活动结束后变成被遗忘的影子API和僵尸API,为攻击者敞开大门。

其二是,利用自动化工具在合法授权下针对API发起的攻击数量激增,攻击者大量采用以机器模拟正常用户行为、运用大量代理IP进行大规模攻击等多种方式来避免速率限制。针对API的攻击正在变得更加复杂化、多样化、隐蔽化、自动化。在这样的攻击手段下,传统API安全网关提供的身份认证、权限管控、速率限制、请求内容校验等安全机制逐渐失灵。

在API这一并不新鲜的战场上,攻防双方已经展开了更进一步的“军备竞赛”。安全团队和攻击者都在将更复杂的技术带入竞争环境中。攻击者必然会越来越多的将注意力转向API方向,并且无疑会开发出更多更先进的攻击工具和方法对暴露在外的API加以利用。当然,作为网络安全的防守方也并不会束手就缚。

API安全成为热点赛道

安全厂商提出创新思路

纵观当前火热的API安全赛道,众多的厂商都在以各自的视角去看待、思考,并结合自身能力提出安全建设思路,为API接口提供完整的安全管控方案。

在本篇中,我们将对上文曾提到过的瑞数信息的API安全管控平台进行简要介绍。个人看来,这家的API安全思路具有明显的说服力与创新价值。

瑞数API安全管控平台

——以AI为支撑的行为分析技术作为突破口

有别于很多从API安全网关角度切入的安全厂商,瑞数信息以AI人工智能为支撑的行为分析技术作为突破口,推出一种新兴API融合防护方案——瑞数API安全管控平台(API BotDefender),集成了API资产发现、攻击检测、参数合规检测、行为检测、敏感数据识别、异常行为拦截处置等功能,覆盖了从资产发现到拦截处置的全链条。

瑞数API安全管控平台(API BotDefender)通过建立多维度访问基线和API威胁建模,对API接口的访问行为进行监控和分析。一方面,监控基线偏离状况,针对高频情况等进行防护,防止高频情况等造成的API性能瓶颈;另一方面,高效识别异常访问行为,避免恶意访问造成的业务损失。

同时,为了防止非法API调用,瑞数API安全管控平台(API BotDefender)通过从API网关上获取API认证和鉴权数据,防止未授权的API调用,保障API接口只能被合法用户访问。

总体而言,相较于传统API安全方案,瑞数API安全管控平台(API BotDefender)着重强调API安全防护能力的提升,以行为分析为基础实现从API接入客户端到API服务器端的全程式API安全威胁防护,其优势也十分明显。

关键词: 安全网关 行为分析

上一篇:
下一篇:
精彩阅读

API成网络攻击的优先入口|攻防双方围绕API安全的博弈激烈

热点

随着数字经济时代的到来,移动互联网业务场景迎来大爆发的同时,Web应用程序接口(API)也经历了指数级增长。

以数字经济助推“精致安逸”江南老城的城市转型——杭州西湖区整体智治十年磨一剑

热点

西湖区模式的成功,也为全国各地进行以数字经济为发展引擎的城区创新提供了有益借鉴。

云游戏:解决大包体精品游戏下载更新时长与卡顿的最优解

热点

近两年,随着精品化时代的来临,游戏的品质逐渐提升,次时代、开放世界、多端互通、3A级手游开始成为游戏厂商布局的重点。

全是干货!我们整理了近两年虚拟人报告

热点

虚拟数字人是“虚拟+数字+人”的综合产物,打破物理界限并给消费者提供拟人服务与体验。

美智库:不应高估中国的科研实力,中国科研存在两大弊病,难以克服

热点

美智库坦言,不应高估中国的科研实力,美国现在对华科技战略完全正确,美国应该继续坚持现有的科技战略。

只需要十分之一数据,就能通关四大视觉任务,居然还开源了!

热点

OpenGVLab开源超高性能预训练模型,节省90%数据量。

直播一小时营收破百万!虚拟主播说英文在B站疯狂吸金,背后企划公司IPO作价23亿

热点

直播不到2小时,就挣了111多万?这么一位首播即登B站实时热门第一的主播,甚至不是真人形象。

行走在开源世界的孤勇者:“只有开源接纳了我” | 技术人访谈录

热点

如果你对开源有所涉猎,或许会更熟悉“适兕”这个名字。

马斯克三把火烧向推特这支“烟屁股”

热点

马斯克的三把火还没真正点燃,却已经引起了员工和Twitter广告主的担忧。

财富

苹果宣布iOS15.5将重新引入第三方音乐播放器

资讯

苹果工程师宣布 iOS 15 5 将重新引入 Apple Music API,这样第三方音乐播放器能够在应用内调整歌曲的播放速度。Apple Music 团队的

继下架有声读物之后,亚马逊正关闭Kindle数字图书购买

资讯

继从 Play Store 下架所有有声读物之后,亚马逊正关闭该平台上的 Kindle 数字图书购买。这归咎于 Google Play的新一轮活动,自今年

TCL华星高世代模组扩产项目全面封顶,预计10月26日量产

资讯

从 TCL 华星获悉,5 月 6 日,TCL 华星高世代模组扩产项目全面封顶仪式在惠州市仲恺高新区 TCL 产业园举行。据了解到,TCL 华星表

数据显示 京东方2月份以来为苹果iPhone生产的OLED面板大幅下滑

资讯

据国外媒体报道,已进入苹果iPhone OLED面板供应商行列、去年开始为6 1英寸版iPhone 13供应OLED面板的国内面板制造商京东方,自2月份以来

微软推送Windows11新预览版 操作系统版本号Build 22616

资讯

5月6日早间消息,微软今晨面向Dev和Beta通道的Insider会员推送Windows 11新预览版,操作系统版本号Build 22616。微软指出,版本中移除了

GoogleMaps导航界面将迎来重大升级,用户界面更加简洁

资讯

Google Maps 导航界面即将迎来重大升级,在最新测试版中允许用户选择最喜欢的出行方式。本次升级会带来一个更简洁的用户界面,让用户可以

“知天命”之年,11位互联网大佬“退休”了

资讯

刚到知天命之年的丁磊似乎也要顺应退休潮流。企查查披露的信息显示,2022年4月25日,北京网易传媒有限公司发生工商变更,丁磊卸任法人、总

韩媒:LG显示决定从2022年下半年开始将液晶电视面板产量减少至少10%

资讯

据《韩国经济日报》报道,LG显示(LGD)已决定从2022年下半年开始,将液晶电视面板产量减少至少10%,并停止对此类生产的新投资。2022年5月初

顺丰15亿元回购资金浮亏3.88%,市值蒸发3000亿

资讯

5月5日晚,顺丰发布《关于回购公司股份的进展公告》,公告中称:截至2022年4月30日,公司通过股份回购专用证券账户以集中竞价方式累计回购

预制菜赛道又多新选手 全聚德集团推出新品牌

资讯

预制菜赛道又多了新选手。近日,北京商报记者了解到,全聚德集团旗下品牌四川饭店推出了预制菜品牌川老大,已在多个渠道上线。全聚德集团旗

以数字经济助推“精致安逸”江南老城的城市转型——杭州西湖区整体智治十年磨一剑

西湖区模式的成功,也为全国各地进行以数字经济为发展引擎的城区创新提供了有益借鉴。

云游戏:解决大包体精品游戏下载更新时长与卡顿的最优解

近两年,随着精品化时代的来临,游戏的品质逐渐提升,次时代、开放世界、多端互通、3A级手游开始成为游戏厂商布局的重点。

全是干货!我们整理了近两年虚拟人报告

虚拟数字人是“虚拟+数字+人”的综合产物,打破物理界限并给消费者提供拟人服务与体验。

美智库:不应高估中国的科研实力,中国科研存在两大弊病,难以克服

美智库坦言,不应高估中国的科研实力,美国现在对华科技战略完全正确,美国应该继续坚持现有的科技战略。

吉利几何EX3功夫牛高居榜首,4月投诉量230起

近日,车质网发布了2022年4月车型投诉排行八卦(前30名),其中有不少产品的出现属实让人没想到。具体来看,吉利几何EX3功夫牛高居榜首,4月

“说好了未达到目标全额退款,结果都是骗人的!”

春天不减肥,夏天徒伤悲。一波减肥大军抱着坚定的信念踏上征途,发现身边各式各样的高端减肥训练营正打着健康减肥封闭管理保质保量包吃包住

龙芯中科胡伟武:自主又兼容夯实信息产业“三箭齐发”

龙芯中科董事长胡伟武在线上发表了关于LoongArch生态建设的演讲。胡伟武表示,指令系统是自主信息产业绕不过去的话题,我国不可能基于国外

锐龙55600G评测:台积电7nm工艺,6核心12线程

自从AMD推出Zen3架构的锐龙5000系列处理器后,在市面上大杀四方,不论是单核性能、多核性能还是游戏性能都远胜于Intel10代和11代酷睿,甚至

欧菲光:公司8P镜头项目已研发成功,目前处于试产阶段

曾经为苹果提供镜头模组的欧菲光今日在互动平台表示,公司团队历经多年技术攻坚,突破高端镜头技术壁垒,一亿像素7P光学镜头已量产,长焦镜

支付宝:处置69375个违规账号和参与“跑分”的账号

4月19日下午,支付宝安全中心官方发布了 关于持续打击电信网络诈骗、租售账号等违规行为的公告 。为保障用户账户安全,营造清澈、安全的