開展企業的 API 經濟規模前 請問你/企業準備好了嗎?
近年來,企業的 API 使用急劇增加,根據 Online API 期刊 Programmable Web 報告, 2015 年 1 月至 2019 年 6 月,企業每年平均增加 2,000 個新 API,2019 上半年平均每月增加 220 個新 API,相比前四年增長超過 30%。
同理,API 攻擊次數也持續增長,對瞭解 API 固有漏洞的人來說並不奇怪。不良的安全措施和 API 特有性相互影響,使得 API 容易成為攻擊者焦點,導致 API 得時時面對無處不在的攻擊與威脅。
API 攻擊案例參考從可借鑑的錯誤中吸取教訓,總比自己切身犯錯來的好,尤其是當業務和安全方面會受到影響時。我們以下列兩則 API 攻擊案例說明 API 安全與治理的重要性:
MyCar - not YourCar!
- 簡介:香港 MyCar Controls 包括遠端資訊處理單元和移動應用程式,透過手機提供定位、遠端啟動、停止和鎖定、解鎖功能等功能。此服務被安裝在數以萬計的車輛, 包含 MyCar 自身及 Carlink、Linkr、Visions MyCar 和 MyCar Kia 等。
- 漏洞:應用程式使用 hard-coded 的管理認證與伺服器端點通訊,無需使用者名稱和密碼授權即可存取使用者帳戶。
- 攻擊類型:API濫用
- 攻擊方式:部分版本的 MyCar 服務可被未經身份驗證的攻擊者發送指令、檢索地理位置並遙控車輛。
Pass the PEPPER
- 簡介:PEPPER Pay 是以色列 Leumi 銀行 的網路服務,提供銀行相關服務。
- 漏洞:攻擊者執行應用程式盜卡時,系統不會顯示任何警示。且完成交易後, 資金存入收款人帳戶只需要一天,如遇週末最多 48 小時。
- 攻擊類型:盜竊
- 攻擊方式:攻擊者購買比特幣,並安排賣家以 PEPPER 帳戶支付,攻擊者即可連結到被盜用的信用卡。即使交易被認定為詐欺,取消資金轉移,比特幣卻早已在被阻擋前被成功購買。
上述案例僅暴露部分不安全的 API 可能帶給企業的潛在風險,但確實說明了:“採取必要的預防措施以防止、減緩和避免駭客攻擊的重要性”。
API Security 的長期戰略: 持續的建立 API 安全機制
根據 Gartner 報告指出 API 安全防護須持續地關注以下三個議題:
Discover 發現
◆ 為確保安全與團隊之間的可見性,開發團隊應檢視 API 報告。並確定在實施新 API 或修改現有 API 時,應如何更新企 業的變更管理流程跟通知相關者。
◆ 盤點企業提供或正在開發的 API,包含第三方開發的 API。通常由完整生命週期 API 管理解決方案提供的 API 目錄可 用於此。
◆ 開發 API 時應建立 API 安全策略,並納入預期進行的新 API 開發,或對現有 API 更改的計畫,而不是開發後才進行清點,這對 DevOps 升級至 DevSecOps 至關重要。
Monitor 監控
◆ 需監視企業使用的外部第三方 API。
◆ 將 API 以可訪問的數據、應用程序、是否對業務至關重要,及客戶端使用情況分類。
Secure 安全
◆ 建立 API 防護策略,例如使用 API Gateway,可依據分類,選取特定的 API 特徵,例如 URL 路徑,套用部分重複性 的安全策略,但要避免每個 API 的安全策略是相同的。
◆ API 生命週期中應用 API 安全性,應包括新版本的應用程序安全性測試 (AST)。
根據 OWASP 提出的十大 API 安全漏洞清單, API 使用越受歡迎,它越能改變安全環境,企業將需要採用進階安全解決方案的新方法。
API 安全威脅的
獨特之處
API 威脅主因是設計上為 stateless,所以容易利用應用程式漏洞來訪問數據。這些攻擊很容易編寫腳本並自動執行,且因每個 API 都是特有的,因此駭客可依靠它所包含的資訊來執行惡意行徑。
在許多情況,API 並沒有涉及用戶端元件,因此一般熟悉的保護方法,如 Captcha、SDK 或 JavaScript 都無法起到作用。 因此 API 面臨諸多風險,許多 CISOs 也都在尋找 API 安全解決方案來解決此問題。
與許多技術發展一樣,API 具有顯著的好處, 包含互動式操作、快速和高效率,但便利性, 隨之而來的風險也必須詳加考量。現今雖然越來越常聽到關於 API 如何容易受到駭客利用的安全問題,但關鍵是企業應如何使用其好處並防範相關出現的威脅。
選擇 API 安全解決方案前所需要了解的 6 個問題根據我們與許多國外原廠和大型客戶的合作經驗,在評估不同選項並為您找到最佳的 API 安全解決方案時,這些問題應先審慎思考:
問題 1 解決方案是否提供所需的可見性?
經驗法則是,你無法對抗你看不到的。安全盲點始終是一個主要問題,尤其是在討論 API 攻擊時,開發人員可能會非常信任這些攻擊,但安全團隊根本無法看到哪些威脅正在攻擊,導致防護出現漏洞,若威脅來自內部時,威脅將迅速擴大,尤其是公司安全機制缺乏可見性時。
問題 2 解決方案的預防能力?
檢測威脅是一個重要的步驟,但這只是第一步。解決方案必須能反應任何重大異常,並阻止攻擊進入企業核心資產來緩解 威脅。為讓業務順利進行,解決方案應有足夠智慧,能根據公司政策區分正常交易和可能異常的交易,及時提醒相關人員。除此之外,團隊應定義哪些可疑行為需要立即被阻止、發送警報並允許安全團隊深入調查。
問題 3 解決方案是否能在開發過程發揮作用?
企業應在開發階段就開始考量安全問題。例如,在設計階段,開發人員可使用相關反饋,將產品或服務設計得更安全。測試環境 可著重檢測各個 API 的獨特錯誤和漏洞。
業務邏輯也是考量的一個重點。其可將 API 使用者具安全影響的行為,收納進 API 的設計與測試中。所有企業的 API 開發流程安全防護目標,應是通過未來正式運營和測試環境,所以考慮安全問題並致力於改善安全性永遠不會太早。從測試環境就開始考量安全性的 Shift-Left 方法,是基於開發安全的 API 需要從一開始就該考慮安全防護的觀念。
問題 4 解決方案的準確性?
API 資料是在不同的層次結構中建構的,因此使用者必須詢問哪些數據是由有關安全解決方案分析的。是調查 API 數據本 身還是只調查元數據 (metadata),這可能不夠明確? 應考慮數據對象之間的依賴關係及其順序性質,以便更全面地了解數據物件,從而減少漏洞。
問題 5 解決方案是否具自動化?
無論選擇什麼解決方案,請確保它擁有自動化功能。能夠自動瞭解 API 功能和行為,並建立安全規則。企業可透過優質的解決方案了解 API 背後的業務邏輯,嘗試實現高水準的監控和自動化,並享受消除人為錯誤及更快、無憂的過程。
問題 6 整合(Integration)過程複雜度?
考量 API 的複雜性,整合流程通常包括技術解決方案的初始檢測,導入公司的開發團對相關特定項目確認,因此解決方案導入時應考量整個部署過程,不僅是單次的技術整合,更需要在不同團隊和技術間達到無縫整合,此時供應商是否有實施以 API 為中心的解決方案經驗就格外重要。
具有吸引力
但卻有風險的 API 業務
雖然 API 的好處非常大且多,但你知道平均一個 API 有大約 27 個漏洞,對企業而言,具一定風險,尤其企業可能擁有數百個甚至數萬個 API 時,這些風險肯定會讓企業審慎思慮安全性問題,建議使用 API 前必須優先衡量其 API 的安全性。
當所有人的關注點都在高風險攻擊媒介,如勒索軟體、DDoS 或惡意軟體,而忽視 API 既有的安全性漏洞時,駭客卻早已經關注到並加以攻擊。
API 容易受到網路攻擊的因素有 :
◆ 資產暴露:API 價值在於建構新產品和服務時串聯需共用和重要的企業資產,因此API 會揭露應用程式底層設計和運作的可見性,過往這些都會被層層保護,現今卻是引導駭客攻擊的漏洞。
◆ 資料透明度:API 最佳實踐的開發規範中, 會詳實紀錄內部對象、資料庫等資料,讓駭客能獲得許多珍貴資料。
◆ 可攻擊面增加:在 API call 中,資訊被傳輸、處理和回應,使得未經授權的使用者可利用這些接入點輸入或提取數據。
API 安全性問題已變得非常重要且必要,因 此,OWASP 早在 2018 年編制的十大應用程式漏洞清單中,新增加防護不足的 API 類別。 OWASP 更於 2019 年 10 月發佈了針對 API 安全性專用的十大清單。
綜合上述,一個完整的 API 安全解決方案應為 “從盤點、分類、風險評估到上架的完整生命週期管理平台,再以 AI 人工智能學習,並建立 API 行為學習模式,提高 API 安全防護能力。”
叡揚資訊 (GSS) 所提供的 API 安全解決方案可協助企業包含 :
❶ 有效並快速進行 API 自動盤點與歸類。
❷ 盤點並提供各個 API 風險評估。
❸ 藉由 AI 人工智能學習建立行為 Pattern, 自動偵測 API 的異常行為。
❹ 被盤點的 API 上架到 API 管理平台,進行有系統且規範的 API 建立、整合、組裝, 並依據所提供的圖形化工具,用拖曳方式即可將 API 格式統整。提供內文加密工具,提升 API 開發安全性。
❺ 將上架 API 管理平台的所有 API 擁有建 立、發佈到汰除的完整生命週期管理。可依需要建立相應的認證與授權機制,提供便易的使用者介面,使企業快速建立與合作夥伴之間的生態圈 (EcoSystem)
❻ 上架的 API 可流量控管 (Access Control), 並可監看所有 API 資料流。企業可透過 API 與 App 的週期使用分析,調整並優化使用效率。
一般泛用的應用程式安全解決方案不足以有效保護 Web API,獨特的 NLP (Natural Language Processing) API 異常管理平臺 (AMP) 提供全面的安全規模,協助企業管控 API, 了解程式碼中的盲點,並識別、分析和發現潛在威脅。
叡揚的 API 安全解決方案能保護企業眾多的 API,並檢測和防止與 API 相關的攻擊。提供自動化監測和防禦。安全解決方案基於 AI 的 NLP 技術將 API 對話視為一種語言,使用先進演算法瞭解複雜資料關係,和建立相應的行為模式。協助 CISOs 從代碼到運營階段流程的完全可見性和控制。企業應意識到使用 API 需要能考慮特定 API 要求、挑戰和業務目標的優質解決方案,以完全保護企業安全。
隨著企業使用 API 高速成長,如何盤點、歸類與風險評估所有使用的 API,將成為企業的 一大課題。
It's Time to Shift-left!
|