開展企業的 API 經濟規模前 請問你/企業準備好了嗎?

近年來，企業的 API 使用急劇增加，根據 Online API 期刊 Programmable Web 報告， 2015 年 1 月至 2019 年 6 月，企業每年平均增加 2,000 個新 API，2019 上半年平均每月增加 220 個新 API，相比前四年增長超過 30%。

同理，API 攻擊次數也持續增長，對瞭解 API 固有漏洞的人來說並不奇怪。不良的安全措施和 API 特有性相互影響，使得 API 容易成為攻擊者焦點，導致 API 得時時面對無處不在的攻擊與威脅。

API 攻擊案例參考從可借鑑的錯誤中吸取教訓，總比自己切身犯錯來的好，尤其是當業務和安全方面會受到影響時。我們以下列兩則 API 攻擊案例說明 API 安全與治理的重要性：

MyCar - not YourCar!

• 簡介：香港 MyCar Controls 包括遠端資訊處理單元和移動應用程式，透過手機提供定位、遠端啟動、停止和鎖定、解鎖功能等功能。此服務被安裝在數以萬計的車輛， 包含 MyCar 自身及 Carlink、Linkr、Visions MyCar 和 MyCar Kia 等。
• 漏洞：應用程式使用 hard-coded 的管理認證與伺服器端點通訊，無需使用者名稱和密碼授權即可存取使用者帳戶。
• 攻擊類型：API濫用
• 攻擊方式：部分版本的 MyCar 服務可被未經身份驗證的攻擊者發送指令、檢索地理位置並遙控車輛。

Pass the PEPPER

• 簡介：PEPPER Pay 是以色列 Leumi 銀行 的網路服務，提供銀行相關服務。
• 漏洞：攻擊者執行應用程式盜卡時，系統不會顯示任何警示。且完成交易後， 資金存入收款人帳戶只需要一天，如遇週末最多 48 小時。
• 攻擊類型：盜竊
• 攻擊方式：攻擊者購買比特幣，並安排賣家以 PEPPER 帳戶支付，攻擊者即可連結到被盜用的信用卡。即使交易被認定為詐欺，取消資金轉移，比特幣卻早已在被阻擋前被成功購買。

上述案例僅暴露部分不安全的 API 可能帶給企業的潛在風險，但確實說明了：“採取必要的預防措施以防止、減緩和避免駭客攻擊的重要性”。

API Security 的長期戰略： 持續的建立 API 安全機制

根據 Gartner 報告指出 API 安全防護須持續地關注以下三個議題：

Discover 發現

◆ 為確保安全與團隊之間的可見性，開發團隊應檢視 API 報告。並確定在實施新 API 或修改現有 API 時，應如何更新企 業的變更管理流程跟通知相關者。

◆ 盤點企業提供或正在開發的 API，包含第三方開發的 API。通常由完整生命週期 API 管理解決方案提供的 API 目錄可 用於此。

◆ 開發 API 時應建立 API 安全策略，並納入預期進行的新 API 開發，或對現有 API 更改的計畫，而不是開發後才進行清點，這對 DevOps 升級至 DevSecOps 至關重要。

Monitor 監控

◆ 需監視企業使用的外部第三方 API。

◆ 將 API 以可訪問的數據、應用程序、是否對業務至關重要，及客戶端使用情況分類。

Secure 安全

◆ 建立 API 防護策略，例如使用 API Gateway，可依據分類，選取特定的 API 特徵，例如 URL 路徑，套用部分重複性 的安全策略，但要避免每個 API 的安全策略是相同的。

◆ API 生命週期中應用 API 安全性，應包括新版本的應用程序安全性測試 (AST)。

根據 OWASP 提出的十大 API 安全漏洞清單， API 使用越受歡迎，它越能改變安全環境，企業將需要採用進階安全解決方案的新方法。

API 安全威脅的
獨特之處

API 威脅主因是設計上為 stateless，所以容易利用應用程式漏洞來訪問數據。這些攻擊很容易編寫腳本並自動執行，且因每個 API 都是特有的，因此駭客可依靠它所包含的資訊來執行惡意行徑。

在許多情況，API 並沒有涉及用戶端元件，因此一般熟悉的保護方法，如 Captcha、SDK 或 JavaScript 都無法起到作用。 因此 API 面臨諸多風險，許多 CISOs 也都在尋找 API 安全解決方案來解決此問題。

與許多技術發展一樣，API 具有顯著的好處， 包含互動式操作、快速和高效率，但便利性， 隨之而來的風險也必須詳加考量。現今雖然越來越常聽到關於 API 如何容易受到駭客利用的安全問題，但關鍵是企業應如何使用其好處並防範相關出現的威脅。

選擇 API 安全解決方案前所需要了解的 6 個問題根據我們與許多國外原廠和大型客戶的合作經驗，在評估不同選項並為您找到最佳的 API 安全解決方案時，這些問題應先審慎思考：

問題 1 解決方案是否提供所需的可見性？

經驗法則是，你無法對抗你看不到的。安全盲點始終是一個主要問題，尤其是在討論 API 攻擊時，開發人員可能會非常信任這些攻擊，但安全團隊根本無法看到哪些威脅正在攻擊，導致防護出現漏洞，若威脅來自內部時，威脅將迅速擴大，尤其是公司安全機制缺乏可見性時。

問題 2 解決方案的預防能力？

檢測威脅是一個重要的步驟，但這只是第一步。解決方案必須能反應任何重大異常，並阻止攻擊進入企業核心資產來緩解 威脅。為讓業務順利進行，解決方案應有足夠智慧，能根據公司政策區分正常交易和可能異常的交易，及時提醒相關人員。除此之外，團隊應定義哪些可疑行為需要立即被阻止、發送警報並允許安全團隊深入調查。

問題 3 解決方案是否能在開發過程發揮作用？

企業應在開發階段就開始考量安全問題。例如，在設計階段，開發人員可使用相關反饋，將產品或服務設計得更安全。測試環境 可著重檢測各個 API 的獨特錯誤和漏洞。

業務邏輯也是考量的一個重點。其可將 API 使用者具安全影響的行為，收納進 API 的設計與測試中。所有企業的 API 開發流程安全防護目標，應是通過未來正式運營和測試環境，所以考慮安全問題並致力於改善安全性永遠不會太早。從測試環境就開始考量安全性的 Shift-Left 方法，是基於開發安全的 API 需要從一開始就該考慮安全防護的觀念。

問題 4 解決方案的準確性？

API 資料是在不同的層次結構中建構的，因此使用者必須詢問哪些數據是由有關安全解決方案分析的。是調查 API 數據本 身還是只調查元數據 (metadata)，這可能不夠明確? 應考慮數據對象之間的依賴關係及其順序性質，以便更全面地了解數據物件，從而減少漏洞。

問題 5 解決方案是否具自動化？

無論選擇什麼解決方案，請確保它擁有自動化功能。能夠自動瞭解 API 功能和行為，並建立安全規則。企業可透過優質的解決方案了解 API 背後的業務邏輯，嘗試實現高水準的監控和自動化，並享受消除人為錯誤及更快、無憂的過程。

問題 6 整合(Integration)過程複雜度？

考量 API 的複雜性，整合流程通常包括技術解決方案的初始檢測，導入公司的開發團對相關特定項目確認，因此解決方案導入時應考量整個部署過程，不僅是單次的技術整合，更需要在不同團隊和技術間達到無縫整合，此時供應商是否有實施以 API 為中心的解決方案經驗就格外重要。

具有吸引力
但卻有風險的 API 業務

雖然 API 的好處非常大且多，但你知道平均一個 API 有大約 27 個漏洞，對企業而言，具一定風險，尤其企業可能擁有數百個甚至數萬個 API 時，這些風險肯定會讓企業審慎思慮安全性問題，建議使用 API 前必須優先衡量其 API 的安全性。

當所有人的關注點都在高風險攻擊媒介，如勒索軟體、DDoS 或惡意軟體，而忽視 API 既有的安全性漏洞時，駭客卻早已經關注到並加以攻擊。

API 容易受到網路攻擊的因素有 ：

◆ 資產暴露：API 價值在於建構新產品和服務時串聯需共用和重要的企業資產，因此API 會揭露應用程式底層設計和運作的可見性，過往這些都會被層層保護，現今卻是引導駭客攻擊的漏洞。

◆ 資料透明度：API 最佳實踐的開發規範中， 會詳實紀錄內部對象、資料庫等資料，讓駭客能獲得許多珍貴資料。

◆ 可攻擊面增加：在 API call 中，資訊被傳輸、處理和回應，使得未經授權的使用者可利用這些接入點輸入或提取數據。

API 安全性問題已變得非常重要且必要，因 此，OWASP 早在 2018 年編制的十大應用程式漏洞清單中，新增加防護不足的 API 類別。 OWASP 更於 2019 年 10 月發佈了針對 API 安全性專用的十大清單。

綜合上述，一個完整的 API 安全解決方案應為 “從盤點、分類、風險評估到上架的完整生命週期管理平台，再以 AI 人工智能學習，並建立 API 行為學習模式，提高 API 安全防護能力。”

叡揚資訊 (GSS) 所提供的 API 安全解決方案可協助企業包含 ：

❶ 有效並快速進行 API 自動盤點與歸類。

❷ 盤點並提供各個 API 風險評估。

❸ 藉由 AI 人工智能學習建立行為 Pattern， 自動偵測 API 的異常行為。

❹ 被盤點的 API 上架到 API 管理平台，進行有系統且規範的 API 建立、整合、組裝， 並依據所提供的圖形化工具，用拖曳方式即可將 API 格式統整。提供內文加密工具，提升 API 開發安全性。

❺ 將上架 API 管理平台的所有 API 擁有建 立、發佈到汰除的完整生命週期管理。可依需要建立相應的認證與授權機制，提供便易的使用者介面，使企業快速建立與合作夥伴之間的生態圈 (EcoSystem)

❻ 上架的 API 可流量控管 (Access Control)， 並可監看所有 API 資料流。企業可透過 API 與 App 的週期使用分析，調整並優化使用效率。

一般泛用的應用程式安全解決方案不足以有效保護 Web API，獨特的 NLP (Natural Language Processing) API 異常管理平臺 (AMP) 提供全面的安全規模，協助企業管控 API， 了解程式碼中的盲點，並識別、分析和發現潛在威脅。

叡揚的 API 安全解決方案能保護企業眾多的 API，並檢測和防止與 API 相關的攻擊。提供自動化監測和防禦。安全解決方案基於 AI 的 NLP 技術將 API 對話視為一種語言，使用先進演算法瞭解複雜資料關係，和建立相應的行為模式。協助 CISOs 從代碼到運營階段流程的完全可見性和控制。企業應意識到使用 API 需要能考慮特定 API 要求、挑戰和業務目標的優質解決方案，以完全保護企業安全。

隨著企業使用 API 高速成長，如何盤點、歸類與風險評估所有使用的 API，將成為企業的 一大課題。