天畅技术园地 | API业务常见弱点防护与实践思考
2022-11-24 0:00:00浏览量:664编辑:管理员来源:天畅
作为数字经济和信息社会的核心资源,数据对国家治理、经济运行机制、社会生活方式等产生着深刻影响。数据在流动、分享、加工和处理的过程中创造价值,但其前提是保障数据安全无虞。因为庞大的数据足以勾勒出数以亿计的人物画像,而支撑这些庞大数据高速传输的重要通道便是API。
如今API接口的运用已经十分广泛,API 接口如果没有经过安全处理,则很容易出现信息截获、篡改与泄露等安全问题。目前,90%使用了API的组织都经历了某种不同程度的安全事件。可以说,每创建一个新的API,就可能会为网络犯罪分子创造更多的可利用空间。Twitter API 密钥泄露事件就是如此,所以API 接口的安全不容小觑。
Gartner 预测, API 滥用将成为最常见的黑客攻击媒介,并将导致许多数据泄露。根据OWASP API 安全项目提供的 API 安全前 10 名(2019 年)列表,通过关注 API 的前 10 大安全风险,优先考虑保护 API 的工作。下文将向您展示攻击者如何列表中的前六个漏洞,后四个 API 安全挑战,则与安全机制的不当应用有关,本文不涉及。
一些 API 公开对象标识符,这对于访问控制机制至关重要。这些机制验证用户只能访问他们有权访问的资源。为了利用对象级授权被破坏的 API,攻击者在 API 调用中更改请求资源的身份验证数据并获取对受保护数据的访问权限。比如通过可预测订单ID值来查询所有订单信息即水平越权,垂直越权,参数遍历。
开发者对API身份认证机制设计存在缺陷或无保护设计,导致身份认证机制无效,比如弱密码、无锁定机制而被暴露破解、Token未校验或Token泄露导致认证机制失效等。用户身份验证问题可能允许攻击者冒充用户、访问他们的个人数据并滥用访问权限。
当开发人员为 API 和客户端之间的通信实施通用机制时,可能会出现此 API 安全漏洞。在这种情况下,API 可能会向客户端发送比它需要的更多的数据,客户端必须过滤数据并隐藏用户不相关的信息。攻击者可以嗅探此流量并从中提取敏感信息:身份验证令牌、帐号、电子邮件地址等。
API 可以使用 CPU、RAM 和磁盘资源来处理请求。开发者通常会根据应用程序的业务逻辑来选择分配给 API 的资源。如果攻击者设法绕过业务逻辑限制以造成 API 必须处理的请求超出其设计目标的情况,则应用程序将耗尽资源并开始出现故障或变得不可用。比如用户信息接口未做频次限制导致所有用户数据被盗;文本翻译接口没有速率限制导致大量文件上传耗尽翻译服务器资源。
与(损坏的对象级授权)类似,只不过此处主要指功能级的控制,比如修改HTTP方法,从GET改成DELETE便能访问一些非授权的API。错误配置的授权机制允许攻击者未经授权访问敏感资源并窃取、编辑或创建新用户帐户。
一些开发人员设计他们的 API 以在将来自应用程序的输入绑定到代码和内部对象时自动分配对象属性。许多框架提供批量分配功能以帮助加快开发速度。这种方法对开发人员来说很方便,但它也允许用户更改他们不应访问的对象属性。此外,攻击者可以尝试猜测对象属性或根据他们的要求用新的属性替换它们。如果 API 容易受到此类请求的攻击,攻击者可以获取有关敏感对象的信息、阅读文档或修改数据对象。
信通院《API数据安全研究报告》认为API安全是数据安全的一部分,它承担不同复杂系统环境、组织机构之间的数据交互、传输的重任。许多API 直接连接到存储敏感数据的后端数据库。因此,API接口安全将很大程度决定了互联网数据的安全。
针对企业API安全保护,我们整理分享安全专家们给出的强化建议和解决方案。
企业要梳理API开放的数量、API的活跃状况、僵尸API、影子API等,清理影子API;识别和分类流经每个 API 的数据;从是否授权访问、越权访问、关键数据未脱敏、数据伪脱敏、输入参数可遍历、返回数据过多等方面严格检测、评估API的安全性。
对于企业来说,应建立可信身份,然后使用分配给这些身份的令牌来控制对服务和资源的访问。对数据安全的建设,从数据访问的边界开始,构建以API为基础的流动数据的安全防护体系,如对敏感数据进行识别和过滤,对敏感数据进行脱敏等,在人员行为管控上,设置访问权限、身份验证等等。
确保操作系统、网络、驱动程序和API组件保持最新状态。了解如何全面实现协同工作,分析访问流量,自动发现流量中的API接口,对API接口进行自动识别、梳理和分组,以及识别将用于入侵您API的弱点,检测安全问题并跟踪数据泄露。
设置API调用频率限额并跟踪其使用记录。若API调用的数量增加,很容易被滥用,也可能是编程错误,例如在无限循环中调用API,指定限流规则,防止API调用激增和拒绝服务攻击。
良好的网关既能帮助您验证流量的使用者身份,也能控制和分析您的API使用情况。企业应从API管控技术和数据保护手段方面入手,增强数据安全治理、保护、监管等多个维度的维护。
企业应从多个维度来构建防御体系,更需要基于风险情报来构建攻击检测模型,做到及早感知及时防御,从而保障企业及其用户的数据安全。
应用数据安全监测系统采用网络流量分析技术,在对现有业务系统无侵入的情况下,帮助用户全面盘点线上业务系统接口,及时发现大规模数据流动风险,快速对数据泄露事件进行溯源分析,宏观掌控业务系统数据流动态势。
不同企业的安全成熟度不同,企业需要实现的目标也不一样,需要落地的方案也不一样。按照企业数据安全建设投入从小到大,从基层到顶层,尝试提供企业内部业务数据安全流动的最佳实践方案。
企业数据安全建设第一步,最基础的就是知道需要保护业务对象是谁,当前是否有风险,如何在不影响业务的情况下减少风险发生的可能性。
日志留存是数据分析、风险发现的基础,也是风险真实发生后进行止血的兜底方案,当企业数据安全建设资源不足时,可以优先建设留存日志的方案。
-
留存账号行为操作日志。
-
对账号行为日志进行双向审计。
-
日志构建灵活溯源分析能力。
步骤三:发现风险,主动发现风险亡羊补牢并提前进行合规审查
建设行为风险发现机制,对正式员工、外包、经销商、数据提供方等业务对象制定行为规范,并进行定期行为审查,防微杜渐。同时对业务系统进行定期数据安全使用评估,防止合法人员对数据进行滥用。
-
脱敏规范落地审查。
-
账号行为风险多场景审计。
-
系统数据生命周期监测。
建设统一运营分析平台,将多维度数据进行汇聚分析,提升安全运营工作质量,将企业安全部门能力汇总,体现安全部门的工作成果。目标结果可衡量,有意义。
不需要业务方改造,支持流量自动还原日志,并对日志双向敏感内容识别,自动关联日志的行为对象,识别对象身份及账号,保留日志溯源的关键五元素(账号、时间、操作应用、操作数据、行为特征)为后续溯源查找,行为风险发现,提供数据可行支撑。采用返回内容结构化提取技术,对返回内容中的关键数据(如个人隐私数据)进行记录,既减少了存储量,又可以对操作行为进行细粒度审计、刻画数据流动态势,同时在数据泄露事件溯源中发挥重要作用。
自主研发的应用系统账号解析技术,从网络流量中还原业务系统的操作账号,对操作行为的记录将更加精细化,对用户的画像也更加丰富,也为风险的识别提供了更多的维度(共用账号、非常用地使用账号)。基于UEBA的设计思路,对数据行为建立基线:包括用户基线、系统基线、接口基线。并对用户划群,IP 划段,系统分类,使用聚群分析,历史行为对比分析,提升风险报告准确度,并对已报告出来的风险行为自动进行场景关联分析,减少用户运营风险投入时间,提高产出效率。
内置多种风险场景,如:共用账号、非常用地登陆、使用脚本访问系统、非工作时间拉取数据、大规模数据异常流动等。同时提供丰富的监控指标,企业可根据需要进行自定义风险策略。
API让天下没有难做的生意,在企业数字化转型如火如荼的今天,API已经远远超出了技术范畴,互联网商业创新和传统企业数字化转型都离不开API经济或者API战略。API连接的不仅仅是系统和数据,还包括企业职能部门、客户和合作伙伴,甚至整个商业生态。API安全是一场持久战,需要不断对其进行改进与完善,才能够有效保障客户权益与数据安全。如果等到数据泄露事件发生,再去应急的话,就已经错过了最好的时机。