企业动态

    70%企业存在未授权API漏洞，致数据安全事件频发

    国外安全专家认为，2023年将成为API泄露事件创纪录的一年。从全球范围来看，API安全事件频发，威胁愈发严重：

    今年3月，CISA发布了一份关于Nexx车库门控制器和智能报警器的安全公告，在超过4万台设备中发现存在多个API应用漏洞，攻击者可利用这些漏洞窃取个人信息，如物理地址、打开车库门和关闭警报等等；

    6月，Eaton Works的一名研究人员入侵了本田汽车电子商务平台，通过利用API接口漏洞，他可以重置任何账户的密码，并获得完整的客户信息、经销商信息、付款密钥和内部财务报告。该事件导致了近40,000条车主记录暴露；

    同月，T-Mobile公开承认，黑客利用一个API漏洞窃取了3700万客户的数据；

    7月，为超过18万家企业提供云“目录即服务”（directory-as-a-service）的软件服务商JumpCloud公司，因API相关漏洞而全部更改了其API应用密钥；

    ……

    所有这些真实的案例，无一例外都在向我们传达着这样一个真相：API已经成为攻击队的主要目标。奇安信API安全专家认为，之所以API容易成为突破口，主要是由于它具备以下三大特征：

    首先是目标好找。

    API全称是应用程序接口，其职责就是应用之间的调用，是数据流转的管道，天然就是公开且暴露的。

    其次是攻击潜在收益高。

    由于API携带大量重要数据和认证信息，一旦攻击者成功突破 API，可直达核心系统。

    第三是易攻难守。

    业务系统存在代码漏洞和错误，大量的API权限、控制、调用过程不够精细，很容易被攻击者找到漏洞，从而轻易绕过防护，传统的安全产品不可能从根本上杜绝API安全风险。

    奇安信安全团队基于数千场实战攻防演习、重大活动保障以及海量客户的积累分析发现，有70%的企业当中都存在未授权的API漏洞，而企业因API缺陷被发现利用而导致数据泄露的事件更是屡有发生。

    数据安全成攻防演习丢分大项， API存在四大威胁

    聚焦到攻防演习，近几年越来越明显的趋势，就是数据安全成为攻防演习的分数大项。其中加分项包括发现重要敏感数据被窃取、内网敏感信息被搜集利用、漏洞利用等高危操作，以及攻击痕迹提取、攻击阻断、溯源追踪等等；而减分项则包括被攻击方获取数据，例如公民个人信息、敏感数据、运行管理数据、重要数据等。

    结合攻防演习的加减分规则，企业单位在实战当中面临的主要安全威胁如下：

    资产梳理不清晰：由于业务系统的分期上线以及安全部门与业务部门职责不同，导致了安全部门无法实时掌握当前系统有多少API、哪些是长期不活跃的API、哪些是已下线的API、哪些是僵尸API、业务系统对外暴露了哪些API、以及是否存在未经审批登记的API等一系列问题，用户对API资产情况掌握不清晰。

    数据泄露无感知：攻击者通过利用接口存在的脆弱性批量获取企业敏感信息。且数据在传输的过程中未对敏感信息进行处置，例如公民身份证号、电话、联系地址等信息。

    漏洞攻击无防护：API由于设计者或历史遗留等原因存在逻辑缺陷、配置错误等安全漏洞，恶意攻击者常常利用API漏洞进行攻击。针对API漏洞利用攻击行为，如何进行防范、如何精确控制访问行为；针对漏洞攻击、高频访问等异常行为如何进行快速安全防护，成为了困扰当前企业安全建设的难点。

    溯源追溯无手段：数据被窃取后防守队无法快速定源或响应，造成被通报处罚场面。

    奇安信API安全专家认为，过去防守队经常依赖于WAF（Web应用防火墙）、传统API安全网关等方式来保护，但效果并不尽如人意。Gartner一语道出了API安全防护的要点：企业需要的是在清晰了解API全量资产的前提下，更注重API运行时对风险的及时准确识别。

    贯穿事前事中事后，API亟待全流程闭环保护

    结合国内攻防演习、重大项目保障等场景，奇安信API安全专家建议广大客户，需要从事前、事中、事后不同阶段，去筑起安全的护城河。

    事前阶段：

    收缩资产暴露面：获取全量的API资产信息，并对资产信息做分类统计和标记管理。从全生命周期的视角对全量API资产进行统一管理，从而收缩暴露面。

    全局视野看风险：对API脆弱性进行分析并通过自定义规则去自动标记传输敏感信息的API。

    API专项保护策略：结合企业业务特征及API调用情况，做好API资产专项保护。

    事中阶段

    持续的风险监测：对全部API持续监测、对脆弱性API持续分析、对传输敏感数据的API持续监测、对API漏洞利用的检测与分析、对敏感数据泄露的检测与分析。

    快速应急响应：如发现接口存在异常，可指定API做下线处理，并保留整个调用过程相关审计记录。

    事后阶段

    数据安全事件溯源：对通过访问者IP地址、账号、API接口、时间、数据类型等条件进行检索，分析访问者在什么时间访问了哪些API，并获取了哪些数据且达到了多少量级。

    奇安信API安全卫士， 提供全闭环的安全防护能力

    针对目前API安全的现状、风险和防护难点，奇安信API安全卫士提供了一套从发现、检测、分析、防护的持续闭环解决方案，覆盖API的全生命周期。

    它通过API资产识别、API敏感数据传输识别、API漏洞攻击检测与防护、API访问控制等技术，解决企业在攻防演习当中API资产梳理不清、API敏感数据泄露无感知、API漏洞攻击无防护手段、API通信行为无审计等API安全问题。

    全面的API资产梳理

    API安全卫士基于WEB流量系统通过内置规则自动识别API类型及公共组件。通过自动打标并进行分类统计，全面管理API资产。

    风险API检测

    API安全卫士内置了30+种风险API检测模型，能够全面而准确地检测出各种自身逻辑缺陷。其中包括未授权访问的问题，即未经授权的用户可以访问和操作API接口，从而造成数据安全风险；弱认证问题，即认证机制不够强大，容易被攻击者绕过；过度数据暴露问题，即API接口返回了过多的敏感数据，可能会被攻击者利用；高敏感接口问题，即API接口涉及了高度敏感的数据或操作，需要特别关注；以及接口误暴露问题，即API接口被错误地暴露在公共网络中，容易被攻击者发现和利用。

    异常行为分析

    API安全分析系统内置高频访问、非工作时间访问、敏感数据过度下载等20余个异常行为检测模型，通过对API安全检测系统上送的业务访问日志以及涉敏日志进行关联分析，发现异常高频访问、文件批量下载、敏感数据批量爬取、以及接口参数遍历等API异常访问行为，发现潜在的API安全风险，将风险前置。

    同时API安全分析可根据业务情况的不同自定义异常行为分析引擎，自定义维度包括但不限于学习时长、学习窗口、阈值以及敏感数据类型等，配置完成后自动更新到对应的模型中，做到动态更新API异常行为分析模型，减少低价值的告警、提高异常行为告警可信度、准确度。

    敏感数据传输分析

    系统内置个人信息、商业敏感信息、金融信息、企业信息等多种敏感信息识别规则。敏感数据特征库支持在线升级和更新，同时系统支持根据业务需要自定义敏感数据识别规则。

    API检测系统根据内置规则通过关键字识别、正则表达式、文件指纹以及语义分析等多种技术识别敏感数据包括敏感数据所属类型、敏感数据等级、敏感数据数据量等，支持对结构化、半结构化、非结构化数据识别，系统识别敏感数据上传到API分析与管理系统。API安全分析与管理系统通过集中存储和大数据分析的优势，跨长时间维度分析对其传输内容进行分析来达到“谁通过什么方式的API，传输了什么类型的敏感数据，传输了多少”的效果，实现敏感信息的数据传输分析。同时形成涉敏访问趋势图、敏感数据类型TOP10 以及API涉敏告警数量TOP10 等视图，提高运营效率。

    威胁事件分析

    API安全分析系统可以根据API安全检测系统上送的威胁检测日志进行基于API视角、攻击者视角以及应用视角等多维度的威胁事件分析，通过大数据分析组件的关联分析能力还原基于API的供给链过程，清晰展示“什么人（攻击者）通过哪个接口，什么攻击方式手法，攻击了谁（受害者），攻击结果是什么”的效果，极大提升运营人员的分析效率。

    精细化策略管控

    系统可以根据API的方法和参数进行管控。用户可以根据自身需求，设定允许或禁止特定的方法和参数，从而实现对API的精细化管控。此外，系统还支持对客户端的管控，可以根据客户端的IP地址、用户标识等信息进行黑白名单的设置，进一步提高API的安全性。

    通过API细粒度的精细化管控避免恶意攻击者通过恶意请求、DDoS攻击等手段对API进行攻击，导致系统瘫痪、数据泄露等的严重后果。

    结束语

    当前，全球企业都在积极采用数字化优先战略，推动自身业务的发展， API承担着不同复杂系统环境、组织机构之间的数据交互、数据传输的重任。安全机构普遍认为，API遭遇的安全困局成了数据安全面临的最核心问题。无论是“战时”的攻防演习，还是“平时”的安全运营，企业只有做好API安全防护，才能交出一份满意的数据安全答卷。