摘自:《网络安全技术和产业动态》2022年第6期,总第24期。

应用程序接口(Application Programming Interface,API)是一些预先被定义的接口或协议,用来实现和其他软件组件的交互。API在应用架构上实现了软件的模块化,具备可重用、可扩展能力,已经成为应用系统中广泛使用的核心支撑技术之一。APP、小程序、智能家电、政务平台、数据交换等都在大量使用API相关技术。

近年来,基于动态防护、恶意Bots识别、行为分析、机器学习等融合性的API防护技术体系逐步兴起。API可公开获取、标准化、高效且易于使用的特性,为开发者带来诸多好处的同时,极大地增加了应用系统新的风险,相应防护能力要求也在提升。

0技术发展情况

在数字时代下,无论是互联网商业创新还是传统企业数字化转型,都推动了API技术的发展,API从只用于企业内部服务调用,到面向外部服务调用,再到如今的对外公开调用,API已经逐步从限制性的局部接口,转向更大和更广的领域。其连接的已不仅仅是系统和数据,还有企业内部职能部门、客户和合作伙伴,甚至整个商业生态。

随着API形态的发展,其面临的威胁发生了转变,相应的防护技术也在发展。

早期API防护以API网关为主,该技术主要是通过身份验证、访问控制、速率限制等手段提供防护能力。此类技术非常成熟,无论是开源系统还是商用系统都已广泛使用。但API网关是以鉴权为核心,缺少攻击检测和防护能力,对API的安全威胁防护远远不够。

之后出现了基于WAF的解决方案,以解决API在面临新型专属攻击的同时所面临的传统Web攻击。该方案主要是通过特征匹配、策略规则等方式,对API请求中的SQL注入、命令注入、CC等攻击进行检测,同时增加了API调用参数检查、合规检查等安全功能。

但随着针对API特性的攻击越来越多,单纯依靠API网关和WAF技术并不能全面有效的识别API安全风险,新兴的API融合防护技术开始发展。依托机器学习、行为分析、特征识别等技术,实现API接口的自动发现、风险识别、传统攻击检测、敏感数据管控等功能,提供覆盖API全维度的安全防护。

0发展难点分析

API自身特点决定了它面临着许多特别的安全威胁,除了传统的Web攻击外,还面临着凭证失陷、越权访问、过度数据暴露等威胁。同时,针对这些威胁检测要涉及到API接口发现、参数检测、行为识别、访问控制等多个环节,任何环节的缺失或不足都会影响到整体防护效果,其发展难点表现在:

1.多渠道多边界难以全面防护

访问入口的多样化,带来了服务部署边界的多样化,如:Web、APP、小程序、第三方平台等业务接入渠道。多样化接入导致了脆弱点的暴露面扩大,增加了风险管控复杂性。在同一防护体系内融合多业务接入渠道的防护是API防护的难点之一。

2.接口分散和数据多样性导致接口难以发现

全面准确的API接口发现是API防护工作的基础,对API接口进行自动识别、分类尤为重要。与传统Web应用可以依赖自身结构上的统一入口不同,API自身多以独立个体的方式存在,采用点对点的访问模式,难以通过接口之间的联系进行API发现。同时,传输数据格式的多样性(JSON、XML、GraphQL等)也增加了API的识别难度。

3.业务紧耦合防护策略难以通用

API和业务系统是紧耦合的,针对API的防护策略往往也和业务相关,这就造成API防护策略在跨业务的情况下难以通用,而微服务架构和DevOps模式下应用快速迭代变化的特性也放大了这一难点,解决这一问题是API防护产品快速部署推广的一个难点。

4.合法授权下的滥用风险难以识别

目前API在授权之后的访问控制相对薄弱,海外安全机构Salt Security发布《State of API Security》中显示,95%的API攻击发生在身份验证之后。API防护需要重点关注这些合法授权下的攻击、滥用及数据过度暴露等风险,如何在已经取得合法授权的请求中识别出异常访问,是API防护需要解决的一个难题。

0产业落地情况

目前针对API防护技术主要分成了三个方向:API网关、WAF和API融合防护,国内外的安全厂商在这些方向上都有所涉及,相关产业落地情况如下:

1.API网关

经过多年的发展,API网关技术已经非常成熟,参与其中的厂商或组织也很多,例如开源类的API网关包括:Kong、APISIX、Tyk、Zuul等。商业级的API网关形态更为丰富,包括本地部署、云端部署、SaaS模式等。参与厂商包括阿里、华为、腾讯、青云、派拉软件等。

2.WAF

基于WAF的API防护技术,主要是一些传统的安全厂商在研发,利用已经具备了多年的WAF产品研发经验,可快速扩展部分API防护的能力,例如敏感数据识别、参数合规检测等。国外以Akamai、F5等厂商为代表,国内部分WAF安全厂商如绿盟也延展到对API的防护。

3.API融合防护

该技术是近年来兴起的解决方案,融合了动态防护、机器学习、行为分析、特征识别等技术,以解决API面临的新型威胁。国外以Salt Security、Noname Security等厂商为代表,国内安全厂商,如瑞数信息、星澜科技等也在发力API融合防护技术和方案。

0意见和建议

针对当前企业普遍缺乏对API安全重要性和特殊性的认知,缺少对此类安全建设的投入,API安全防护手段参差不齐,API系统性安全建设严重滞后,安全厂商对全面有效的API防护技术还处于不断探索阶段的状况,我们提出建议如下:

1.引导和鼓励企业、安全厂商在深化数字化业务的同时,加快针对API安全新技术新方法的研究与实践,推动API安全的体系化发展。

2.宣传表彰API安全防护典型用户,推广API安全防护应用优秀案例,带动更多企业重视完善API安全建设,提升API安全防护能力。

3.积极开展API安全防护标准研究制定,推动引导API防护技术发展。

中国网络安全产业联盟(CCIA)主办,瑞数信息技术(上海)有限公司供稿。

声明:本文来自CCIA网安产业联盟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。