來自API的威脅以及對API的防護

在五月初，健身企業Peloton表示他們客戶的賬戶數據被暴露在互聯網上。任何人都能從Peloton的服務器接入用戶賬戶數據——即使這些用戶將他們的賬戶設置為“隱私”。而其原因則是某個出現問題的API許可了未經認證的請求。

API可以實現簡單的機器對機器的交流。API使用最近呈爆炸性增長。根據Akamai的調查，API交互已經占所有互聯網流量的83%。

API也導致了大量的安全問題。除了Peloton之外，其他涉及API安全問題的企業包括Equifax、Instagram、Facebook、Amazon和Paypal。

API的使用和攻擊都在增加

根據Salt Security在2月發布的報告，91%的企業在去年有API相關的安全問題。大部分安全問題為漏洞(54%)，其次為認證問題(46%)、bots自動化威脅(20%)、以及DoS攻擊(19%)。

80%的組織不相信他們的安全工具可以有效防范API攻擊。Salt Security的調研發現，三分之二的企業在減緩新應用的生產速度，原因就是API安全的考量。而Salt Security自身的客戶，即使所有企業都部署了WAF和API網關，依然每個月都會經歷數次API攻擊——意味著API攻擊已經繞過了這些安全工具。事實上，根據Salt的研究，WAF和API網關會遺漏OWASP十大API安全威脅中90%的情況。

然而，超過四分之一的組織在沒有安全策略的情況下運行著基于API的關鍵應用。以Peloton為例，最開始就通過API將用戶數據在沒有認證的情況下對任何人、任何地點都允許接入。新思安全研究中心的首席安全策略官Tim Mackey表示：“Peloton保護他們API的第一步，是現在訂閱人員的接入，但這依然意味著其他用戶還是能夠無視隱私設置對其他用戶的信息進行接入。這些信息包括了用戶的年齡、性別、頭像、以及一些活動數據。”

造成泄漏的API并不少見。根據Salt Security的報告，82%的組織對自己是否知道API信息毫無信心;他們無法確定這些API是否包括客戶個人網絡信息、受保護的健康信息、持卡人數據等個人可識別信息。同時，還有22%的組織表示他們不知道如何發現哪些API在暴露敏感數據。

Traceable的安全研究工程師Roshan Piyush認為，Peloton的問題在于他們使用了未經認證的API，從而導致了對象級別的認證問題。其他有同樣問題的企業還有Panera、Fiserv、LifeLock和Kay Jewelers，而且這份名單還在增加。Roshan認為，在開發過程當中，認證和授權保護往往會被忽略。

一個銀行的API成長史

某中型規模金融機構的安全技術經理Jeff表示，他們企業在過去的數月中，對API的使用急速增長。如今，API已經連接了3,000多個終端，包括企業的內部應用、屬于是商業伙伴的應用，以及面對客戶的網站和移動設備。

而這僅僅是開始。Jeff提到：“我們現在在五年計劃的第二年，而在未來三年這個進程會進一步加速。我們16個月以前來了新的CISO，而他有很強的API開發背景，因此他必然會進行加速。”

Jeff表示，他們現在還只是在做準備工作：“我們肯定是在正確的道路上。我們現在正在消除所有部署的數據中心，并且轉移到網站服務商，同時用API連接所有東西”。

Jeff提到，API會從四個主要的URL地址調用，各有不同的服務以及不同的參數。這種方式能形成一層保護。Jeff說到：“由于API的風險性，我們故意混淆了一些我們API終端的名字，使得橫向攻擊或者嗅探更加難以實現。”該金融機構也在過去六個月將多個API網關合并到一個主要網關中。

公司的API網關使用了Apigee，該API安全廠商在2016年被谷歌收購。

一些企業會對所有開發者都使用一個網關產生一些顧慮，比如擔心潛在的生產瓶頸、單點故障、或者DDoS攻擊等。但Jeff認為他的組織不會有這個問題：“我們的開發人員會偏向使用API網關的方式。該解決方案是通過SaaS提供，本身能跨多個地點，從而給開發人員更好的接入體驗，降低延遲。因為SaaS能夠自動延展，它不像傳統的API網關那樣有所限制。”

舉例而言，如果一個AP接口之前預計一個月要進行1,000萬次處理，但是在它上線的前兩周就有了2億次處理——而事實上，使用者并沒有感到任何延遲，或者性能的降級。現在，產線每個月會有20億次的API調用，而兩年前只有8,000萬次。

在認證方式上，該公司的移動和網站應用使用更老的Java技術。Jeff表示，他們正在將這些全部都通過一個軟件開發工具組移到一個基于API的認證環境;這現在是他們的關鍵部分，正在和多個部門進行協同。

這個新的解決方案改變了企業防范基于信用的攻擊的方式。對于外部合作伙伴，該公司正在推進API調用的零信任模型。Jeff表示：“雖然說我們想加速這個進程，但是有一部分合作伙伴并沒有準備好。”

對于通過網站或者移動應用接入的消費者，會有一定的持久性;這意味著消費者不用多次進行驗證。但是，Jeff卻提到：“我們的零信任模型表示我們不會允許任何對話有持久性，或者支持任何形式的cookie維持狀態。用戶需要每次都進行驗證。我用一個最基礎的理念來說：安全、便利、快速，你可以實現兩項，但是無法三項都做到。”

而對于在公司安全邊界內的API，就有另一種解決方案。“當API在內部的時候，我們就傾向于使用一些更輕量化的非零信任方案。”Jeff說到，“我們會用IP安全，基于流量的目標地址、服務賬戶進行認證，會更基于活動目錄進行。”

行為分析也同樣被使用，進行內部和外部的可疑行為監測，并自動化過濾明顯的惡意信息。“能在前門就將麥子和谷殼分開，能讓我們更聚焦于期望見到的‘好’調用。行為分析本身也是現實進行的交互行為。我們會使用所有從IP信譽庫、行為分析、用戶和賬戶畫像的方式。”Jeff說到，“假如我們有一個用戶每周五都進行一次200美元的存款，而現在開始每周三存款800美元了;我們會開始觀察這個行為。這不僅僅是保護我們自己的資產，也是確保我們能夠主動報告潛在的洗錢和人口拐賣行為。”

通過自動化能力，該供公司能夠將送達到它SOC和安全事件響應團隊的事件數量降低35%。為了實現這一點，一年多以前NOC和CSIRT團隊使用了Salt Security的解決方案，和Apigee API網關一起共享流量。

“這個解決方案能看到所有到達我們最高等級API的流量，然后進行學習，從而給我們潛在的攻擊者信息，以及改進代碼的建議。”

其他團隊也啟用了相關平臺，包括反詐團隊、開發團隊、和安全架構團隊。Jeff表示，這也讓他們加速了API遷移的進程。

針對API的機器人攻擊

API流量在增加，但惡意API流量增長得更快。Salt Security客戶的每月API調用流量增長了51%，而惡意流量增長了211%。

基于Akamai對于100家包括金融服務機構、零售、媒體、和娛樂行業的企業客戶的每月API數據分析，發現有7,440億API調用，12%來自已知惡意因素，25%來自非網站瀏覽器、移動設備、或者應用的終端客戶——意味著這些流量也可能來自惡意人員，而非正常用戶。

安永的網絡安全管理主任Rishi Pande表示，傳統的前端應用，比如網站和移動應用，會對攻擊有一定防御能力。這些防御能力可以防范DDoS、撞庫、和一些其他自動化攻擊。“你的前端或許被保護了，但如果API網關沒有被保護，那很快就會出現問題。”Pande說到。這個領域演化得很快，但一些客戶會以為相關技術提供了保護，但是實際上這些工具并沒完全準備好。

而撞庫問題并不只是隨著API出現的。事實上，根據Cequence Security的攻防專家Jason Kent的看法，針對API層的攻擊正在越來越多，因為這種攻擊匿名性更強，同時API并不像網站的移動應用那樣被保護得那么好。Kent有一次通過倉庫大門公司API的設計問題，成功打開了倉庫大門。他提到：“在標準的網站安全中，會有在客戶端側的額外代碼運行，從而知道在操作的是人還是機器。但在API使用中，我們完全放棄了這一套人機識別。我們能夠頻繁發起你能想象到的最快速的攻擊。”

Kent認為，現在API安全的處境就像2009年應用安全的情況一樣。他成功破解倉庫大門API的方式是查看其移動應用。“你從應用商店下載的應用只是一堆被解壓縮的文件夾和文件。”他說到，“它會包含所有它進行溝通的API終端名單。”

一旦攻擊者獲得了移動應用，并明白它是如何交互的 ，攻擊者就可以使用同樣的API頻道發送請求。Kent認為，人工智能和機器學習可以防御這類攻擊，因為來自機器人的API請求和真人使用正規應用的方式是不同的。

該左移了

Postman的2020年API報告調研了13,500名開發者，只有36%的公司為他們的API做安全測試——相比而言，有70%的公司做了功能性測試，67%做集成測試。而根據SmartBear的2020年API報告，可用性是開發者對API的最大考慮，其次是功能，而安全只在第三位。

部分原因是因為開發團隊往往和安全團隊是分開的，同樣也和網絡以及架構團隊分開。“這個問題的解決方法就是DevSecOps。”Capgemini North America的高級網絡安全經理Albert Whale如是說，“我們現在能夠集成測試，然后將這種測試的能力交給應用開發者掌控。我們能夠讓每個人都成為安全團隊的一員。”

Whale認為，從一開始就創建更為安全的應用，要比試圖在最后通過API網關等技術進行保護要重要得多。“我將API網關視為一個單點故障點。”他說，“它會降低應用的速度，因為它必須收集所有的信息。這不是說API網關很可怕，但是它們就像WAF一樣實現他們的功能;但是除了有時候需要使用它們，也有時候需要限制。”

Whales提到，企業應該注重與更好的架構、安全和API調用：：“企業會花更長的時間去實現這些，但是擁有更好代碼的應用才是真正需要的防護。當你有一個足夠能夠抵御攻擊的應用的時候，顯然你不需要額外的因素來提供更多安全能力。”

網絡安全研究公司Securosis的分析師兼總經理Mike Rothman也同意，開發者正在越來越注重安全。“我們看到DevSec正在讓更多的人進行合作。”他說，“這種情況總是會發生嗎?未必。但是我們正在試圖打破許多原有的固化思維以及溝通壁壘，讓團隊都一起合作。”

Rothman提到，當涉及API安全相關的時候，就有多個領域的隱患。首先是業務邏輯。“這是我無法告訴你我們是否處理正確的應用安全關鍵領域之一。”當一個整體化的應用被通過用API連接的方式分成多個小型服務的時候，對發現和緩解邏輯業務邏輯隱患的要求也極大提升了。應用也許會像設計得那樣運作，認證機制也在完美地進行，甚至應用本身可能完全沒有漏洞，但是如果編程邏輯里出現問題，依然會產生泄露事件。

然后就是一系列需要注意的漏洞。在2019年發布的OWASP十大API漏洞，已經兩年沒有變化了。Rothman表示：“我們一直都在重復相同的錯誤。然后我們需要從多個層面對環境 進行保護——傳統的網絡技術、以及傳統的應用安全技術。”

最后，企業也需要注意工具、自動化、掃描技術、以及遙測監控，因為永遠不會有足夠的人員手動監測API。“我們需要權衡我們有的資源，而人員顯然不是。”Rothman說到，“通過監控來看API是如何被調用的，可以尋找可能標志著惡意使用的非正常行為。”

倉庫公司獲得API安全可視化能力

開發者現在非常容易就能夠啟用一個網站服務，然后設置API。不過每一項新技術的產生，安全總是滯后的。

即使所有的開發者都配備了信的安全控制，但還是可能會有老系統的存在。這些過時的僵尸API有著極大的風險，因為API應該是使用期短卻從不會被停止使用。

“你無法保護你不知道的東西。”倉庫公司Prologis的安全主任Tyler Warren說到，“看著市面已有的API解決方案，你得先知道你有什么才能去保護它。這已經不是一個新手任務了，因為我們第一優先的工作任務是發現我們有什么。”

Warren作為Prologis的API安全項目負責人，表示他們公司在四年前開始開發面向顧客的系統。“我們擁有大約10億平方英尺的土地，在19個國家有大約5,000個倉庫。”他說到，“當人們聽說你是一個倉庫公司的時候，他們會說：‘你們和高科技能有什么聯系?’但是管理層的決策是，技術驅動業務，而非一個成本的堆積。”

因此，Prologis開始改變。四年前，倉庫的思維模式是：“這是你的四面墻和屋頂，這是你的鑰匙，過幾年等你要續租的時候再來找我們。”

現在，有了基于云的Prologis Essential平臺，能夠讓客戶提交服務單或者檢查收據狀況;但更重要的是，可以和當地供應商聯系，在有人入駐新倉庫的時候獲得蟲害控制、叉狀抓爪、照明燈其他產品和服務。

鑒于這是一個全新的服務，沒有之前的系統可以參考，Prologis開始使用基于云的無服務器架構。“我們直接跳過了容器。”Warren說到，“我們幾乎完全是無服務器的，主要是用Amazon和其Lambda服務。”

Prologis Essentials使用AWS的API網關，有15個API接口服務500個終端，包括內部連接和外部合作伙伴的集成。上個月，系統處理了52.9萬次API請求。

不過，Warren發現AWS并不提供太多API的行為信息。“AWS自身并不會給你這些信息。”Warren表示，“我們嘗試了一些以前的方式，但是WAF無法實現這個效果。WAF雖然能給你一點保護，但是也僅此而已了。”

Warren試圖去尋找易于部署的技術，并且需要該技術不會給開發團隊造成麻煩。“如果你把關系搞砸了，那麻煩就來了。”他說，“如果你是那種喜歡說‘不’的安全人員，那開發人員就會饒過你。因此，解決方案需要符合他們的工作流，并且不會給他們增加額外的工作 。”

Prologis同樣選擇了Salt Security。他們原本計劃2021年全面展開項目，但是最終從2020年就開始著手。“API攻擊面越來越值得注意。”Warren提到，“那些壞人已經發現了很多攻擊面。”

Salt Security花了大約一個月的時間將自己的解決方案嵌入Essentials系統。“大部分工作都是測試。”Warren說，“同時確保開發者同意這些改變，不會對性能產生影響。”

Salt Security的工具位于AWS環境，并且從API網關獲取流量、抓取日志和元數據、再傳送給Salt的SaaS顯示板進行告警和報告。“我一開始猜測我們有100個API終端。”Warren說到，“但最后發現我們有500個。一般而言，我覺得我了解網絡上在發生什么，但我這次顯然錯得離譜。這是行業里的一個通病——人們總是少估了他們有的東西。”

系統最終在去年秋天上線運行。它能夠和WAF連接，并且自動化處罰行動。現在，它會將報告發給安全人員手動閱覽。“我最不想做的事，就是阻斷了合法流量。”Warren提到。

該系統也會檢查是否存在潛在的個人信息泄露情況。比如，Warren有一次被告警，因為AWS私鑰可能產生泄露，雖然最終發現這是一次誤報。Warren解釋：“我們有些賬戶數字看上去像AWS私鑰，但這只是一個巧合。”

這個系統還發現有些API提供必要之外的信息。“雖然說郵箱和賬戶數字的組合并不一定會是敏感信息。”Warren表示，“但我需要的是‘如果不是絕對需要，就不要做’。”這條建議，應該是某個使用API的企業都需要遵守的。

來源：數世咨詢