随着云计算和移动计算的快速普及,API安全已经成为当下企业和互联网面临的最严峻的网络安全挑战之一,根据Gartner的研究,2022年,超过九成Web应用程序遭到的攻击来自API,而不是人类用户界面。
API安全同时也是非常独特的挑战。首先,API是与企业业务关联最紧密,暴露和攻击风险最高,防护难度最大的技术组件之一,带来了很多传统安全技术无法解决的挑战(例如API没有客户端组件)。
其次,API普遍存在安全漏洞。由于API开发的标准很少,而且许多标准都是唯一的,因此API经常包含可利用漏洞。攻击者发现,攻击API通常比直接攻击程序、数据库、应用程序或网络要容易得多。
最后,API的另一大危险是过度许可。为了让API不间断运行,程序员经常给API授予较高权限。黑客一旦入侵API,就可以使用这些高权限来执行其他操作。这已经成为一个严重问题,根据Akamai的研究,针对API的攻击已经占全球所有账户窃取攻击的75%。
API安全工具兴起
鉴于API安全问题的严重性和紧迫性,近年来API安全工具的数量正在快速增加。目前市场上有数十种API安全商业工具以及数百种免费或开源工具。这些工具的分类与普通网络安全工具类似,但实际上是专门为API的独特安全挑战设计的。
通常,根据API安全防护生命周期(上图),API安全工具主要分为、检测、防护与响应、测试、发现、管理几大类;少数厂商宣称能提供完整覆盖API安全周期的平台工具,但如今最流行的API安全工具主要还是集中在“防护”、“测试”和“发现”三个环节:
防护:即保护API免受恶意请求攻击的工具,有点像API防火墙。
测试:能够动态访问和评估特定API以查找漏洞(测试),并对代码进行加固。
发现:还有一些工具能扫描企业环境,识别并发现其网络中存在(或暴露)的API资产。
由于API网络安全工具的数量和增长速度,企业评估API工具的难度不断加大。近日CSOonline基于全球用户和商业评论,评选出了目前九大热门顶级API安全工具。虽然这个列表难免以偏概全、挂一漏万,但是依然能给寻找合适API安全工具的企业提供一定的参考:
以下是对全球市场九个热门安全工具(包含免费和开源工具)的点评:
一、APIsec
作为最受欢迎的API安全工具之一,APIsec几乎是完全自动化的,非常适合刚开始提高API安全性的组织。APIsec能扫描生产环境中的API并测试常见漏洞,例如脚本注入攻击。但它也会对每个API进行彻底的压力测试,以确保它针对较为隐蔽的攻击(例如业务流程攻击)进行强化。如果发现问题,APIsec将标记问题以及安全分析师的详细分析结果。
在创建API时,开发人员也可以主动使用APIsec。这样,任何漏洞都可以在API上线之前被消除。此外,APIsec还会在API被部署后持续监视其安全状况。
二、Astra
Astra是一个开源工具,用户需要从GitHub(https://github.com/flipkart-incubator/Astra)下载Astra并安装在本地环境中。虽然作为开源工具意味着用户能获得的支持有限,但是Astra在管理和保护非常特定类型的API方面拥有极佳的用户口碑。
Astra主要防护目标是具象状态传输(REST)API,由于此类API经常更改,因此极难测试和保护。企业可将Astra集成到持续集成和持续交付(CI/CD)管道中来提供帮助。Astra可确保经常更新变化的REST API不受常见API漏洞的影响。
三、AppKnox
AppKnox以其强大的用户支持能力而著称。该平台有非常易用的界面,同时还在用户部署和使用时提供周到的服务支持。由于易于部署和使用,AppKnox受到大量拥有小型安全团队的企业的青睐。
安装后,AppKnox将测试API是否存在常见问题,例如HTTP请求漏洞、SQL注入等。它还会扫描与API连接的所有资源,以确保它们不会成为黑客的攻击路径。
四、Cequence统一API防护平台
Cequence统一API防护平台(Cequence Unified API Protection)专为大型企业环境设计,这些企业可能需要每天处理数十亿个API请求。该防护平台首先会检测企业环境中的所有API,然后将它们归档到API资产清单中。此后,可以对API进行常规漏洞测试,安全团队也可自定义需要在API分组上执行的特定测试。这不仅对于保护API非常有帮助,而且有助于满足政府或行业的合规要求。
Cequence还能设置自动保护或操作,以响应攻击或与API的可疑交互。由于Cequence无需借助防火墙就能自动处理此类问题,可以减轻这些外围安全设备的负载,并加快响应时间,从而提供对API威胁接近实时的防护。
五、Data Theorem API Secure
Data Theorem API安全工具可以清点网络、云、应用程序或任何其他环境中存在的每个API。对于想要增强API安全性但不知道从哪里开始,甚至不知道自己正在使用多少API的企业来说,该工具非常有用。API Secure还可以使API清单保持最新状态,从而在部署任何新API时快速查找它们。
完成API发现流程后,API Secure还能像黑客一样测试每个API的漏洞。然后,它可以标记该API,以便人工自行检查或自动修复许多漏洞。
六、Salt Security API保护平台
Salt Security API保护平台非常先进,是最早充分利用人工智能和机器学习来检测和阻止API威胁的平台之一。该平台通过收集整个网络中的API流量、分析对API的调用以及API正在执行的响应来检测和响应API威胁。然后,Salt Security API将本地采集数据与存储在云端大数据引擎中的流量数据进行比较。最后,它可以阻止大多数攻击并突出显示可疑活动,提醒人类安全团队或根据其设置采取行动。
随着时间的推移,Salt Security API保护平台会持续学习,它检测API威胁的时间越长,识别的准确性就越高。
七、Noname Security
Noname Security在支持大型企业和大型企业环境中建立了良好的声誉。据报道,20%的财富500强公司使用该公司的API安全工具。Noname Security API安全工具能分析通过API移动的流量数据,提供超越某些平台提供的标准API漏洞检查保护能力。然后,该工具还能利用人工智能和机器学习来搜寻恶意活动。
Noname Security的强大之处是能够测试通用和非标准API。例如,它完全支持HTTP、RESTful、GraphQL、SOAP、XML-RPC、JSON-RPC和gRPC API。通过分析流量数据,它甚至可以查找、记录和保护不受API网关管理的API,或者不遵循任何标准协议的自行开发的API。
八、Smartbear ReadyAPI
Smartbear ReadyAPI主要面向开发环境,不仅可以用于在API开发阶段测试安全漏洞,还可以监控其性能。例如,开发人员可以看到如果API遇到大量数据会发生什么,这也可能会导致安全问题。
作为测试的一部分,用户可以配置在开发中向API投放的流量类型,ReadyAPI可以从组织的网络中捕获实际流量,然后将其用于非常真实的测试。ReadyAPI原生支持Git、Docker、Jenkins、Azure DevOps、TeamCity等。
九、Wallarm端到端API安全平台
Wallarm端到端API安全平台主要面向存在大量API的云原生环境,但也可以保护存在于本地设备的API。该平台宣称能防范针对API的任何类型的威胁,从OWASP顶级API漏洞列表中的威胁到特定威胁,例如通常针对API的凭据填充工具。
Wallarm还可以帮助缓解分布式拒绝服务(DDOS)攻击和bot侦察与攻击。鉴于当今互联网上的大部分流量都由bot组成,这是该安全工具中一个不错的功能和卖点。
该平台还提供了基于用户流量的,对企业全域API状态的深入分析和报告。这不仅有助于企业深入了解API安全性,还可以帮助企业了解如何使用API以及哪些地方需要改进。Wallarm的报告功能还对安全以外的其他部门(例如开发和业务部门)有所帮助,是一个不错的增值功能。
声明:本文来自GoUpSec,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。