聚焦API安全｜綠盟科技發(fā)布下一代WEB安全防護(hù)解決方案

　　API成為Web應(yīng)用防護(hù)的下一個焦點

　　IDC在2022年發(fā)布了中國數(shù)字化轉(zhuǎn)型十大預(yù)測，其中應(yīng)用現(xiàn)代化與敏捷業(yè)務(wù)戰(zhàn)略里，都涉及到了一個不可忽視的主角——API。在應(yīng)用開發(fā)階段，API是標(biāo)準(zhǔn)的業(yè)務(wù)接口;在對接第三方服務(wù)時，API則是較為常見的選擇;在微服務(wù)架構(gòu)中，微服務(wù)間的通信促使API已然成為標(biāo)配。未來，隨著企業(yè)選擇敏捷業(yè)務(wù)戰(zhàn)略的方式發(fā)展，會將更多的精力投入在業(yè)務(wù)，而非基礎(chǔ)能力建設(shè)，研發(fā)體系、商務(wù)模式的改變都將接踵而至。企業(yè)將會開發(fā)、上線更多API對系統(tǒng)內(nèi)外部賦能，同時采購更多的第三方細(xì)分能力的解決方案。API在未來將無處不在，也將成為應(yīng)用安全領(lǐng)域除WEB應(yīng)用外的下一個核心保護(hù)對象。

　　API安全主要由三部分組成 ——API發(fā)現(xiàn)、訪問控制以及威脅防御。由于API發(fā)現(xiàn)涉及到設(shè)計、編碼及整體網(wǎng)絡(luò)部署，且需要具備主被動識別能力，較小的篇幅無法展開，我們后續(xù)詳細(xì)闡述。本文將就訪問控制與威脅防御兩點，闡述綠盟科技在下一代WEB應(yīng)用防護(hù)體系建設(shè)的思考與方案。

　　API脆弱性加劇了網(wǎng)絡(luò)攻擊風(fēng)險和業(yè)務(wù)風(fēng)控難度

　　API自身的無狀態(tài)性、對請求中資源的可識別性、刪除/修改服務(wù)端資源的可操作性、以及服務(wù)端返回的足夠詳細(xì)的信息所帶來的資源暴露面的擴(kuò)大等，這些脆弱性成為API被攻擊的天然漏洞，都促使API的攻擊數(shù)量呈指數(shù)級增長。

　　面對如此之多的API攻擊，OWASP組織就關(guān)注度最高的API風(fēng)險，總結(jié)出了OWASP API Security TOP 10，一方面體現(xiàn)出當(dāng)前最常見的API問題;另一方面，也對API的開發(fā)及安全人員給出有效指導(dǎo)，更加有針對性的實施安全策略。

　　API安全是落在Web安全的范圍內(nèi)，但基于API的使用特性，API安全落腳點更為精細(xì)與聚焦。例如在API TOP 10中關(guān)注較高的，像A1和A5都主要是授權(quán)相關(guān)(eg，橫/縱向越權(quán))，A2和A4中表現(xiàn)出的場景大多是與自動化工具的利用相關(guān)(eg，賬號接管、暴力破解、資源濫用、DDoS)，與Web TOP 10相比API TOP 10的關(guān)注點有著與API使用特性較為明顯的關(guān)聯(lián)與傾斜。站在企業(yè)用戶視角，TOP 10的API安全風(fēng)險組合后所帶來的業(yè)務(wù)威脅影響，將會大大影響安全體系的設(shè)計理念。

　　Source：API安全管理論壇

　　(1)面對業(yè)務(wù)創(chuàng)新的驅(qū)動，保障業(yè)務(wù)快速發(fā)布的同時，如何保障安全同步?

　　(2)如何判斷未被WAF阻斷的正常請求中，哪些是常規(guī)業(yè)務(wù)請求，哪些是惡意調(diào)用?

　　(3)如何避免拖庫事件的發(fā)生?用戶的賬號、手機(jī)號、密碼、交易記錄等敏感信息的泄露，會導(dǎo)致直接的社會負(fù)面影響及觸犯監(jiān)管法規(guī)的要求。

　　(4)如何對業(yè)務(wù)訪問進(jìn)行識別，避免薅羊毛、批量注冊一類惡意事件的發(fā)生?

　　(5)如何對現(xiàn)有API資產(chǎn)進(jìn)行梳理?如何對發(fā)起調(diào)用的客戶端進(jìn)行權(quán)限確認(rèn)，是否存在橫、縱向越權(quán)帶來的主機(jī)失陷的嚴(yán)重后果?

　　(6)如何進(jìn)行業(yè)務(wù)API管理，避免廢棄、內(nèi)部API不會被攻擊者發(fā)現(xiàn)及利用?

　　(7)內(nèi)部API之間的調(diào)用常態(tài)化，內(nèi)部環(huán)境被暴露的風(fēng)險顯著提高，如何避免內(nèi)部遭受攻擊，以及一旦發(fā)生攻擊后，如何進(jìn)行范圍控制，避免做為跳板實施全盤失陷的嚴(yán)重后果?

　　解決API問題，首要的是將API安全定位于一個新的防護(hù)對象，而非僅僅保護(hù)網(wǎng)站中的API

　　防護(hù)對象的擴(kuò)展，攻擊手段的工具化，惡意行為趨于合法化，攻擊側(cè)重點從漏洞利用，到資源濫用、訪問控制，以及持續(xù)增長的未被納入管理的API接口，都需要我們對安全架構(gòu)進(jìn)行升級，需要在原有WAF能力的基礎(chǔ)上，添加API識別能力、防護(hù)能力、Bot管理能力，同時提供接口，支持便捷、自動化的API防護(hù)對象導(dǎo)入、上傳，以達(dá)到覆蓋更全面的使用場景。

　　我們將上述的目標(biāo)，拆分為兩個方向——技術(shù)層面(防護(hù)能力)，業(yè)務(wù)層面(適配能力)。

　　技術(shù)層面

　　我們面臨的威脅主要有Web漏洞利用、資源濫用、資源訪問控制，對應(yīng)的防護(hù)能力下，應(yīng)該具備WAF、API發(fā)現(xiàn)、API訪問控制、API威脅防護(hù)、Bot防護(hù)和Bot畫像多項能力。

　　API做為承載業(yè)務(wù)的基石，實現(xiàn)其資產(chǎn)梳理、敏感數(shù)據(jù)分類、合規(guī)檢測，可以輔助用戶有效的實現(xiàn)訪問控制;調(diào)用資源管控，配合Bot檢測有效地規(guī)避濫用場景。而威脅檢測、權(quán)限控制，則可在漏洞利用防護(hù)的基礎(chǔ)上，進(jìn)而補充業(yè)務(wù)邏輯防護(hù)，更有效的進(jìn)行業(yè)務(wù)風(fēng)險評估與加固。

　　識別Bot，識別惡意Bot，進(jìn)而識別善于偽裝的高級Bot，是所需要考慮的第一層面?；贐ot行為，分析Bot意圖，評估業(yè)務(wù)面臨的風(fēng)險并進(jìn)行預(yù)警，對Bot進(jìn)行溯源追蹤、聚類分析，一方面可以更加有效的幫助企業(yè)客戶及時發(fā)現(xiàn)問題，針對性的進(jìn)行安全策略的調(diào)整與業(yè)務(wù)加固;另一方面，生產(chǎn)并共享Bot情報，為后續(xù)Bot的變身出現(xiàn)，做到先于攻擊行動前進(jìn)行發(fā)現(xiàn)。

　　業(yè)務(wù)環(huán)境適配層面

　　1、按基礎(chǔ)環(huán)境：面對客戶場景不同的業(yè)務(wù)組件，需靈活接入;

　　2、按上云節(jié)奏：客戶本地、云端、多云部署業(yè)務(wù)，需統(tǒng)一管控;

　　3、按業(yè)務(wù)發(fā)展：先進(jìn)技術(shù)云原生、微服務(wù)，需輕量適配;

　　4、按暴露面：確保所有對外的API流量，持續(xù)注冊在威脅防護(hù)設(shè)備上;

　　防護(hù)對象、防護(hù)場景、防護(hù)能力的變化，綠盟科技推出下一代WEB安全防護(hù)解決方案

　　在2021年，Gartner正式將Web Application API Protection(WAAP)定義為Web Application Firewall(WAF)市場的下一階段，將WAF能力擴(kuò)展為4個核心功能特性：WAF、DDoS防護(hù)、Bot管理和API防護(hù)。[4]

　　我們從企業(yè)客戶在API風(fēng)險中遭遇最多的“漏洞利用”問題出發(fā)，選擇與之對應(yīng)的防護(hù)能力WAF為出發(fā)點，提供包含DDoS防護(hù)、Bot流量管理、WAF、API防護(hù)于一體的下一代WEB安全防護(hù)解決方案，保障用戶的Web應(yīng)用防護(hù)及API安全防護(hù)。后文我們引用Gartner對于該解決方案的簡稱WAAP進(jìn)行方案介紹。

　　橫向擴(kuò)展覆蓋更全用戶場景，對外解決身披“合法身份”進(jìn)行賬號接管、黃牛黨、薅羊毛這些引發(fā)敏感數(shù)據(jù)泄露、業(yè)務(wù)負(fù)載大，造成客戶經(jīng)濟(jì)、聲譽雙重受損的問題;對內(nèi)幫助客戶梳理API資產(chǎn)，分類安置，基于不同的API類型，按行為、按權(quán)限、按上下文邏輯，在合規(guī)檢測的基礎(chǔ)上、解決API越權(quán)、濫用等多方面問題。

　　縱向延伸深挖產(chǎn)品領(lǐng)域技術(shù)，識別新問題，跟進(jìn)新熱點，保持前瞻性。方案的設(shè)計有以下四個維度：

　　維度一：單點聚焦核心能力

　　1、Bot防護(hù)：精準(zhǔn)實現(xiàn)Bot流量識別與降噪，降低網(wǎng)站漏洞暴露以及業(yè)務(wù)側(cè)攻擊的風(fēng)險;對攻擊者意圖進(jìn)行深度分析、攻擊者路徑追蹤溯源、業(yè)務(wù)風(fēng)險告警與標(biāo)識等，從而在提供安全保障的同時極大地減輕了客戶運維成本。

　　國際權(quán)威機(jī)構(gòu)Forrester，從技術(shù)水準(zhǔn)、市場份額等多方面，面向全球格局對Bot管理技術(shù)進(jìn)行安全廠商調(diào)研，綠盟科技做為中國安全企業(yè)代表，被列入《Now Tech:Bot Management,Q4 2021》報告。[5]

　　2、API防護(hù)：通過主動被動相結(jié)合的方式，輔助客戶進(jìn)行完善的API資產(chǎn)梳理;結(jié)合自動生成的API基線及導(dǎo)入的OAS文件，進(jìn)行API合規(guī)檢測;支持解析多協(xié)議流量，進(jìn)行攻擊流量過濾，同時關(guān)聯(lián)惡意Bot行為分析，進(jìn)而達(dá)到保障合法用戶正常訪問、拒絕非法用戶訪問、扼止越權(quán)訪問、阻斷惡意漏洞攻擊、規(guī)避敏感數(shù)據(jù)泄露等風(fēng)險。

　　綠盟科技做為中國安全企業(yè)代表，被Forrester列入最新的《Now Tech:WebApplication Firewalls,Q2 2022》報告。[6]

　　維度二：多種產(chǎn)品形態(tài)，適配客戶不同階段環(huán)境

　　1、硬件、虛擬化都支持：多款集群方案，無論是對接F5反代不改源IP，還是插件式部署，對接Nginx不改網(wǎng)絡(luò)拓?fù)?，抑或是統(tǒng)一流量編排，面向客戶不同部署環(huán)境，保障業(yè)務(wù)高穩(wěn)定、高可用。

　　2、虛擬WAF：配合業(yè)務(wù)上云節(jié)奏，對接14種品類云平臺，保障客戶業(yè)務(wù)無憂上云。

　　3、云原生WAF：伴隨應(yīng)用的云原生化，將安全能力適配云原生架構(gòu)，融入微服務(wù)場景。提供適配K8S、Ingress controller部署的容器化WAF，并進(jìn)階提供適配envoy服務(wù)網(wǎng)格架構(gòu)的云原生WAF，輕量級、無感知的與微服務(wù)應(yīng)用伴生，解決東西向防護(hù)需求，覆蓋數(shù)千容器運維管理場景。

　　4、硬件、虛擬化都支持：產(chǎn)品能力組件化。為進(jìn)行全面防護(hù)，原有產(chǎn)品以糖葫蘆式堆疊部署，流量挨個串行解析，每個節(jié)點均為單點故障點，整體時延加長，數(shù)通層面重復(fù)加載，各自為營。通過實現(xiàn)安全引擎組件化，解耦隔離數(shù)通層與安全防護(hù)層，流量一次解析，按需動態(tài)加載防護(hù)能力。保障業(yè)務(wù)高穩(wěn)定的前提下，提供輕量級、靈活化的防護(hù)能力。

　　維度三：步步為營，協(xié)同合作

　　1、按需組合：抗D防護(hù)，識別DDoS攻擊，進(jìn)行大額流量清洗。Web安全防護(hù)，面向URL、API，阻斷漏洞利用攻擊，進(jìn)行“黑”流量清洗。Bot管理，識別自動化工具，客戶端環(huán)境驗證，進(jìn)行“灰”流量清洗。API安全防護(hù)，識別越權(quán)、生成業(yè)務(wù)圖譜，進(jìn)行“白”流量辨別。

　　結(jié)合客戶防護(hù)優(yōu)先級，支持靈活組合產(chǎn)品能力，基于實際業(yè)務(wù)場景提供專屬特色方案，保障Web應(yīng)用、移動應(yīng)用、API免受各種不同的攻擊。

　　2、前后呼應(yīng)：經(jīng)過API網(wǎng)關(guān)認(rèn)證后的合法身份，若被檢測有攻擊行為，支持與API網(wǎng)關(guān)聯(lián)動，進(jìn)行身份封禁。

　　3、安全左移：支持對接包含代碼掃描、應(yīng)用掃描后的漏洞掃描結(jié)果，針對漏洞信息，提供不同層面的智能補丁，保障業(yè)務(wù)快速發(fā)布的同時，代碼加固同步配合。

　　維度四：可提供WAAP端側(cè)能力，也支持WAAP平臺側(cè)服務(wù)

　　一體化管理的端側(cè)能力：輕量化的docker部署，摒棄底層依賴;基于業(yè)務(wù)流量變化，動態(tài)加載安全組件數(shù)量;端側(cè)流量統(tǒng)一編排，擬人化的安全配置界面(同一產(chǎn)品，不分?jǐn)?shù)量，一處配置入口)。

　　多維展示的平臺側(cè)服務(wù)：面向運維，統(tǒng)一管控多個端側(cè);面向用戶，用戶資產(chǎn)風(fēng)險完整性評估;匯集端側(cè)數(shù)據(jù)，關(guān)聯(lián)分析攻擊信息，輸出全面的攻擊面像。

　　在客戶場景下的實際應(yīng)用

　　簡而言之，面對企業(yè)用戶在業(yè)務(wù)、規(guī)模的不同發(fā)展階段、行業(yè)屬性所帶來的不同側(cè)重的風(fēng)險問題、不同的優(yōu)先級，以及部署位置的不同，都可以結(jié)合綠盟科技的WAAP產(chǎn)品方案，選擇貼合自身需求的方案組成與產(chǎn)品形態(tài)。

　　這里做三種場景下不同解決方案選擇的簡單舉例：

　　場景一：客戶合規(guī)為主，在漏洞利用防護(hù)的基礎(chǔ)上，面臨數(shù)據(jù)爬取、惡意掃描、惡意注冊的困境。

　　解決方案：配置集Web安全、Bot管理、API安全為一體的WAF型號，或者通過WAF升級，新增Bot管理、API安全功能模塊。為用戶提供快速、全面的安全能力。

　　場景二：客戶業(yè)務(wù)場景多元，如互聯(lián)網(wǎng)電商企業(yè)、醫(yī)院、國家電網(wǎng)，有更趨向于業(yè)務(wù)安全的薅羊毛、庫存占用、惡意競價、拖庫、賬號接管、黃牛黨等場景。

　　解決方案：在已有WAF產(chǎn)品的基礎(chǔ)上，可加購提供更加專業(yè)化方案的Bot管理產(chǎn)品(BMG)，在應(yīng)用安全防護(hù)的基礎(chǔ)上，提供業(yè)務(wù)安全防護(hù)能力。

　　場景三：云原生環(huán)境。面向節(jié)假日，流量波動大。既有南北，也有東西向防護(hù)需求，需要防護(hù)產(chǎn)品更貼近業(yè)務(wù)側(cè)，而不僅僅是在網(wǎng)關(guān)處，集群部署，統(tǒng)一運維，風(fēng)險集中管控。

　　解決方案：打包提供WAAP端側(cè)及WAAP平臺側(cè)能力，面向每個業(yè)務(wù)伴生發(fā)布云原生安全組件，通過最小粒度組件化的安全引擎進(jìn)行進(jìn)行安全能力加載，結(jié)合業(yè)務(wù)流量的變化，動態(tài)加載安全組件數(shù)量，提供統(tǒng)一的運維管理及業(yè)務(wù)風(fēng)險管理可視化界面。

　　總結(jié)

　　隨著API以及線上業(yè)務(wù)的開展，綠盟科技也將持續(xù)提升針對OWASP TOP 10、OWASP API Security TOP 10、OWASP Automated Threats的威脅防御能力，為企業(yè)線上的數(shù)字化業(yè)務(wù)提供堅實的安全防護(hù)。后續(xù)，我們將更加深入的介紹下一代應(yīng)用安全防護(hù)解決方案中的產(chǎn)品提供的價值及特性，期待與行業(yè)同仁一道，攜手推進(jìn)安全領(lǐng)域的進(jìn)一步健康發(fā)展，共同應(yīng)對應(yīng)用安全防護(hù)的新挑戰(zhàn)。

　　參考文獻(xiàn)

　　1 State of API Security, Salt Labs Q1 2022.5.

　　2 The State of the Internet, Akamai.

　　3 Protecting Your APIs From Abuse Data Exfiltration, Cloudflare.

　　4 Magic Quadrant for Web Application API Protection, 20 September 2021.

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）