瑞数信息《2023 API安全趋势报告》重磅发布: API攻击持续走高,Bots武器更聪明

简介: 如今API作为连接服务和传输数据的重要通道,已成为数字时代的新型基础设施,但随之而来的安全问题也日益凸显。为了让各个行业更好地应对API安全威胁挑战,瑞数信息作为国内首批具备“云原生API安全能力”认证的专业厂商,近年来持续输出API安全相关观点,为政企用户做好API安全防护提供参考指南。

如今API作为连接服务和传输数据的重要通道,已成为数字时代的新型基础设施,但随之而来的安全问题也日益凸显。为了让各个行业更好地应对API安全威胁挑战,瑞数信息作为国内首批具备“云原生API安全能力”认证的专业厂商,近年来持续输出API安全相关观点,为政企用户做好API安全防护提供参考指南。

今日,瑞数信息正式发布《2023 API安全趋势报告》(以下简称“报告”),从API威胁态势、攻击手段、API安全发展趋势等多个方面进行深度分析,剖析典型的API攻击案例,并结合API趋势提供了防护建议。

微信图片_20230810153843.jpg

报告指出,随着API调用数量的增多和自动化工具的兴起,API攻击持续走高,API资产管理不当、自动化攻击、业务欺诈以及数据泄露等风险正在对企业的业务安全构成新的挑战。同时,在远程办公和企业应用向云端迁移的趋势下,API威胁越来复杂化。随着人工智能、机器学习等技术的发展,Bots自动化攻击手段越来越聪明,可以快速、准确地扫描API漏洞或对API发起攻击,对系统造成严重威胁。

一、API威胁态势分析
随着数字化技术的发展和Web API数量的爆发性增长,API面临的安全攻击比例已经超过传统的Web漏洞攻击。API和小程序逐渐成为了很多企业和组织的流量入口,引发的攻击越来越多,并且通过API接口攻击突破Web应用,作为跳板进入目标网络。

报告指出,越来越多的攻击者正利用API来实施自动化的“高效攻击”,由API漏洞利用的攻击或安全管理漏洞所引发的数据安全事件,严重损害了相关企业和用户权益,逐渐受到各方的关注。2022年检测到Web攻击中,针对API的攻击占比已经超过70%。

依据相关数据统计发现,2022年比2021年API攻击增加约60%。虽然2022年受疫情影响,多数单位居家办公,但是黑灰产的攻击行为并没有因此而停止,反而增多。

二、API安全防护难点
与传统的Web防护不同,API的安全防护要求更为全面,包括资产管理、缺陷识别、攻击检测、Bots检测、参数检测、行为识别、访问控制等多个环节,任何环节的缺失或不足都会影响到整体的防护效果:

01 多渠道多边界难以全面防护
访问入口的多样化,带来了业务应用部署边界的多样化,如:Web、APP、小程序、第三方平台等业务接入渠道,导致了脆弱点的暴露面扩大,增加了风险管控复杂性。因此,在同一防护体系内融合多业务接入渠道的防护是API防护的难点之一。

02 接口分散和传输格式多样性导致接口难以发现

全面准确的API接口发现是API防护工作的基础,对API接口进行自动识别、分类尤为重要。与传统Web应用可以依赖自身结构上的统一入口不同,API自身多以独立个体的方式分散存在,采用点对点的访问模式,难以通过接口之间的联系进行API发现。同时,传输数据格式的多样性(JSON、XML、GraphQL 等)也增加了API的识别难度。

03 业务紧耦合防护策略难以通用
API和业务是紧耦合的,针对API的防护策略往往也和业务相关,这就造成API防护策略在跨业务的情况下难以通用,而微服务架构和DevOps模式下应用快速迭代变化的特性也放大了这一难点,解决这一问题是API防护产品快速部署推广的一个难点。

04 合法授权下的滥用风险难以识别
目前API在授权之后的访问控制相对薄弱,海外安全机构Salt Security发布《State of API Security》中显示,95%的API攻击发生在身份验证之后。API防护需要重点关注这些合法授权下的攻击、滥用及数据过度暴露等风险。如何在已经取得合法授权的请求中识别出异常访问,是API防护需要解决的一个难题。

三、API攻击特点分析
在攻防对抗中,攻击方通常掌握着主动性,因此掌握攻击者的入侵方法和手段,发现信息系统的潜在脆弱性,以此作为防范依据会大大提升防范效果。面对越来越严峻的API安全威胁,报告从行业分布、缺陷分析、类型分析、API攻击手段等多个方面剖析了API攻击特点。

1 行业分布
不同行业应用、业务形态的差异导致了API使用情况各不相同,API请求访问流量占比最高的为互联网,其次为金融和运营商。

2 缺陷分析
在OWASP的参考中已经定义了多种API缺陷,但在用户生产环境中往往难以一一对应,为了更加直观的展示这些缺陷问题,瑞数信息对其进行了重新组合。最为广泛出现的 API 缺陷为过度数据暴露,其次是参数可遍历、 越权访问、参数可篡改、明文密码传输、接口误暴露等。

3 类型分析
不同的API功能类型,面临的攻击程度也不一样,尤其是适合Bots进行自动化攻击的接口,例如:公开数据查询、登录、下单等类型的接口最容易遭受攻击。

4 攻击手段
API作为应用与业务的结合体,面临着双重的攻击威胁,除了遭受着传统SQL注入、SSRF、恶意文件上传等攻击外,还面临着各种业务层面的攻击,例如:越权访问、信息遍历等。

四、API安全发展趋势及防护建议

随着API数量井喷式增长,API安全风险页进一步加剧。结合对API威胁态势和攻击特点等分析,报告预测了API安全发展四大趋势:Bots自动化攻击加剧API安全风险;API安全管理更加智能化;API安全成为云应用安全的重要组成;合规要求成为API安全的要素。

基于此,报告指出,在应对新型的API风险时,主要防护建设思路可以归结为“一个基础,四个感知”。

一个基础,即API资产管理是所有安全防护的基础,确保已上线的API全部都在管控范围之内,防止有漏网之鱼导致安全防线失效。

四个感知,包括:环境感知,加强对API的调用环境进行环境感知,提升API调用者的环境安全检测能力。风险感知,对API自身缺陷和外部攻击风险进行感知发现。数据感知,对敏感数据进行识别,同时结合行业的分类分级标准,进行相应的安全策略管控,全面提升敏感信息监测能力。业务感知,制定适合的API安全策略,提升业务感知能力。

五、结语
数字时代,API在为开发者带来诸多好处的同时,也极大的增加了应用系统新的风险。据Gartner预测,“到2022年,API滥用将成为导致企业Web应用程序数据泄露的最常见攻击媒介。到2024年,API滥用和相关数据泄露将几乎翻倍”。如何正确看待API安全风险并有效防护API安全,将成为所有企业的必修课。

相关文章
|
2月前
|
存储 安全 API
如何对 API 进行安全加密?
对API进行安全加密是保障数据安全和系统稳定的重要措施
171 56
|
2月前
|
缓存 API
全球最新地震信息免费API接口教程
该接口提供全球最新地震信息,数据源自中国地震台网,每5分钟更新一次。支持POST/GET请求,需提供用户ID和KEY。返回数据包括地震等级、时间、经纬度、深度及位置等详细信息。示例请求和响应详见文档。
|
9天前
|
安全 API 数据安全/隐私保护
自学记录HarmonyOS Next DRM API 13:构建安全的数字内容保护系统
在完成HarmonyOS Camera API开发后,我深入研究了数字版权管理(DRM)技术。最新DRM API 13提供了强大的工具,用于保护数字内容的安全传输和使用。通过学习该API的核心功能,如获取许可证、解密内容和管理权限,我实现了一个简单的数字视频保护系统。该系统包括初始化DRM模块、获取许可证、解密视频并播放。此外,我还配置了开发环境并实现了界面布局。未来,随着数字版权保护需求的增加,DRM技术将更加重要。如果你对这一领域感兴趣,欢迎一起探索和进步。
65 18
|
5天前
|
JavaScript API C#
【Azure Developer】Python代码调用Graph API将外部用户添加到组,结果无效,也无错误信息
根据Graph API文档,在单个请求中将多个成员添加到组时,Python代码示例中的`members@odata.bind`被错误写为`members@odata_bind`,导致用户未成功添加。
31 10
|
1天前
|
弹性计算 监控 安全
API稳定安全最佳实践:用阿里云SDK为业务保驾护航
阿里云智能集团高级技术专家赵建强和曹佩杰介绍了API稳定安全最佳实践,涵盖业务上云真实案例、集成开发最佳实践、配额管理和共担模型四部分。通过分析企业在不同阶段遇到的问题,如签名报错、异常处理不严谨、扩容失败等,提出了解决方案和工具,确保API调用的安全性和稳定性。特别强调了SDK的使用、无AK方案、自动刷新机制以及配额中心的作用,帮助用户构建更稳定、安全的服务,提升运维效率。最终介绍了集成开发共担模型,旨在通过最佳实践和平台工具,保障业务的稳定与安全,推动行业创新与发展。
|
25天前
|
人工智能 安全 物联网
API安全专题:如何有效应对新型Bot攻击?
API安全专题:如何有效应对新型Bot攻击?
38 9
API安全专题:如何有效应对新型Bot攻击?
|
9天前
|
供应链 搜索推荐 API
1688榜单商品详细信息API接口的开发、应用与收益
1688作为全球知名的B2B电商平台,为企业提供丰富的商品信息和交易机会。为满足企业对数据的需求,1688开发了榜单商品详细信息API接口,帮助企业批量获取商品详情,应用于信息采集、校验、同步与数据分析等领域,提升运营效率、优化库存管理、精准推荐、制定市场策略、降低采购成本并提高客户满意度。该接口通过HTTP请求调用,支持多种应用场景,助力企业在电商领域实现可持续发展。
51 4
|
23天前
|
供应链 搜索推荐 API
探索1688榜单商品详细信息API接口:开发、应用与收益
本文深入探讨了1688榜单商品详细信息API接口的开发与应用,涵盖接口概述、开发条件、调用方法及数据处理等内容。该API帮助企业高效获取1688平台商品信息,应用于商品信息采集、校验、同步与数据分析等领域,有效提升了企业的运营效率、库存管理、销售转化率及市场策略制定能力,降低了采购成本,提升了客户满意度。
38 9
|
1月前
|
缓存 算法 API
查询域名WHOIS信息免费API接口教程
该API用于查询顶级域名的WHOIS信息,不支持国别域名和中文域名。通过POST或GET请求,需提供用户ID、KEY及待查询域名。返回信息包括域名状态、注册商、时间等详细数据。示例与文档见官网。
|
1月前
|
API 区块链
获取指定网页基础信息【TDK】免费API接口教程
该接口用于从标准网页中提取标题、关键词、描述和图标等信息。支持POST/GET请求,需提供用户ID、KEY及目标网址等参数,可选指定访问节点。返回状态码、信息提示及提取的内容。示例与详细文档见官网。
AI助理

你好,我是AI助理

可以解答问题、推荐解决方案等