聚焦API安全|綠盟科技發(fā)布下一代WEB安全防護解決方案

  • 人閱讀
  • 2022-05-09 15:52:46

  • 來源:西盟科技資訊

  • 相關關鍵詞

  API成為Web應用防護的下一個焦點

  IDC在2022年發(fā)布了中國數(shù)字化轉型十大預測,其中應用現(xiàn)代化與敏捷業(yè)務戰(zhàn)略里,都涉及到了一個不可忽視的主角——API。在應用開發(fā)階段,API是標準的業(yè)務接口;在對接第三方服務時,API則是較為常見的選擇;在微服務架構中,微服務間的通信促使API已然成為標配。未來,隨著企業(yè)選擇敏捷業(yè)務戰(zhàn)略的方式發(fā)展,會將更多的精力投入在業(yè)務,而非基礎能力建設,研發(fā)體系、商務模式的改變都將接踵而至。企業(yè)將會開發(fā)、上線更多API對系統(tǒng)內外部賦能,同時采購更多的第三方細分能力的解決方案。API在未來將無處不在,也將成為應用安全領域除WEB應用外的下一個核心保護對象。

1652066793398431.jpg

  API安全主要由三部分組成 ——API發(fā)現(xiàn)、訪問控制以及威脅防御。由于API發(fā)現(xiàn)涉及到設計、編碼及整體網(wǎng)絡部署,且需要具備主被動識別能力,較小的篇幅無法展開,我們后續(xù)詳細闡述。本文將就訪問控制與威脅防御兩點,闡述綠盟科技在下一代WEB應用防護體系建設的思考與方案。

  API脆弱性加劇了網(wǎng)絡攻擊風險和業(yè)務風控難度

  API自身的無狀態(tài)性、對請求中資源的可識別性、刪除/修改服務端資源的可操作性、以及服務端返回的足夠詳細的信息所帶來的資源暴露面的擴大等,這些脆弱性成為API被攻擊的天然漏洞,都促使API的攻擊數(shù)量呈指數(shù)級增長。

1652066814136703.jpg

  面對如此之多的API攻擊,OWASP組織就關注度最高的API風險,總結出了OWASP API Security TOP 10,一方面體現(xiàn)出當前最常見的API問題;另一方面,也對API的開發(fā)及安全人員給出有效指導,更加有針對性的實施安全策略。

  API安全是落在Web安全的范圍內,但基于API的使用特性,API安全落腳點更為精細與聚焦。例如在API TOP 10中關注較高的,像A1和A5都主要是授權相關(eg,橫/縱向越權),A2和A4中表現(xiàn)出的場景大多是與自動化工具的利用相關(eg,賬號接管、暴力破解、資源濫用、DDoS),與Web TOP 10相比API TOP 10的關注點有著與API使用特性較為明顯的關聯(lián)與傾斜。站在企業(yè)用戶視角,TOP 10的API安全風險組合后所帶來的業(yè)務威脅影響,將會大大影響安全體系的設計理念。

1652066837569310.jpg

  Source:API安全管理論壇

  (1)面對業(yè)務創(chuàng)新的驅動,保障業(yè)務快速發(fā)布的同時,如何保障安全同步?

  (2)如何判斷未被WAF阻斷的正常請求中,哪些是常規(guī)業(yè)務請求,哪些是惡意調用?

  (3)如何避免拖庫事件的發(fā)生?用戶的賬號、手機號、密碼、交易記錄等敏感信息的泄露,會導致直接的社會負面影響及觸犯監(jiān)管法規(guī)的要求。

  (4)如何對業(yè)務訪問進行識別,避免薅羊毛、批量注冊一類惡意事件的發(fā)生?

  (5)如何對現(xiàn)有API資產進行梳理?如何對發(fā)起調用的客戶端進行權限確認,是否存在橫、縱向越權帶來的主機失陷的嚴重后果?

  (6)如何進行業(yè)務API管理,避免廢棄、內部API不會被攻擊者發(fā)現(xiàn)及利用?

  (7)內部API之間的調用常態(tài)化,內部環(huán)境被暴露的風險顯著提高,如何避免內部遭受攻擊,以及一旦發(fā)生攻擊后,如何進行范圍控制,避免做為跳板實施全盤失陷的嚴重后果?

  解決API問題,首要的是將API安全定位于一個新的防護對象,而非僅僅保護網(wǎng)站中的API

  防護對象的擴展,攻擊手段的工具化,惡意行為趨于合法化,攻擊側重點從漏洞利用,到資源濫用、訪問控制,以及持續(xù)增長的未被納入管理的API接口,都需要我們對安全架構進行升級,需要在原有WAF能力的基礎上,添加API識別能力、防護能力、Bot管理能力,同時提供接口,支持便捷、自動化的API防護對象導入、上傳,以達到覆蓋更全面的使用場景。

  我們將上述的目標,拆分為兩個方向——技術層面(防護能力),業(yè)務層面(適配能力)。

  技術層面

  我們面臨的威脅主要有Web漏洞利用、資源濫用、資源訪問控制,對應的防護能力下,應該具備WAF、API發(fā)現(xiàn)、API訪問控制、API威脅防護、Bot防護和Bot畫像多項能力。

  API做為承載業(yè)務的基石,實現(xiàn)其資產梳理、敏感數(shù)據(jù)分類、合規(guī)檢測,可以輔助用戶有效的實現(xiàn)訪問控制;調用資源管控,配合Bot檢測有效地規(guī)避濫用場景。而威脅檢測、權限控制,則可在漏洞利用防護的基礎上,進而補充業(yè)務邏輯防護,更有效的進行業(yè)務風險評估與加固。

  識別Bot,識別惡意Bot,進而識別善于偽裝的高級Bot,是所需要考慮的第一層面?;贐ot行為,分析Bot意圖,評估業(yè)務面臨的風險并進行預警,對Bot進行溯源追蹤、聚類分析,一方面可以更加有效的幫助企業(yè)客戶及時發(fā)現(xiàn)問題,針對性的進行安全策略的調整與業(yè)務加固;另一方面,生產并共享Bot情報,為后續(xù)Bot的變身出現(xiàn),做到先于攻擊行動前進行發(fā)現(xiàn)。

  業(yè)務環(huán)境適配層面

  1、按基礎環(huán)境:面對客戶場景不同的業(yè)務組件,需靈活接入;

  2、按上云節(jié)奏:客戶本地、云端、多云部署業(yè)務,需統(tǒng)一管控;

  3、按業(yè)務發(fā)展:先進技術云原生、微服務,需輕量適配;

  4、按暴露面:確保所有對外的API流量,持續(xù)注冊在威脅防護設備上;

  防護對象、防護場景、防護能力的變化,綠盟科技推出下一代WEB安全防護解決方案

  在2021年,Gartner正式將Web Application API Protection(WAAP)定義為Web Application Firewall(WAF)市場的下一階段,將WAF能力擴展為4個核心功能特性:WAF、DDoS防護、Bot管理和API防護。[4]

  我們從企業(yè)客戶在API風險中遭遇最多的“漏洞利用”問題出發(fā),選擇與之對應的防護能力WAF為出發(fā)點,提供包含DDoS防護、Bot流量管理、WAF、API防護于一體的下一代WEB安全防護解決方案,保障用戶的Web應用防護及API安全防護。后文我們引用Gartner對于該解決方案的簡稱WAAP進行方案介紹。

1652066923128501.jpg

  橫向擴展覆蓋更全用戶場景,對外解決身披“合法身份”進行賬號接管、黃牛黨、薅羊毛這些引發(fā)敏感數(shù)據(jù)泄露、業(yè)務負載大,造成客戶經(jīng)濟、聲譽雙重受損的問題;對內幫助客戶梳理API資產,分類安置,基于不同的API類型,按行為、按權限、按上下文邏輯,在合規(guī)檢測的基礎上、解決API越權、濫用等多方面問題。

  縱向延伸深挖產品領域技術,識別新問題,跟進新熱點,保持前瞻性。方案的設計有以下四個維度:

  維度一:單點聚焦核心能力

  1、Bot防護:精準實現(xiàn)Bot流量識別與降噪,降低網(wǎng)站漏洞暴露以及業(yè)務側攻擊的風險;對攻擊者意圖進行深度分析、攻擊者路徑追蹤溯源、業(yè)務風險告警與標識等,從而在提供安全保障的同時極大地減輕了客戶運維成本。

  國際權威機構Forrester,從技術水準、市場份額等多方面,面向全球格局對Bot管理技術進行安全廠商調研,綠盟科技做為中國安全企業(yè)代表,被列入《Now Tech:Bot Management,Q4 2021》報告。[5]

  2、API防護:通過主動被動相結合的方式,輔助客戶進行完善的API資產梳理;結合自動生成的API基線及導入的OAS文件,進行API合規(guī)檢測;支持解析多協(xié)議流量,進行攻擊流量過濾,同時關聯(lián)惡意Bot行為分析,進而達到保障合法用戶正常訪問、拒絕非法用戶訪問、扼止越權訪問、阻斷惡意漏洞攻擊、規(guī)避敏感數(shù)據(jù)泄露等風險。

  綠盟科技做為中國安全企業(yè)代表,被Forrester列入最新的《Now Tech:WebApplication Firewalls,Q2 2022》報告。[6]

  維度二:多種產品形態(tài),適配客戶不同階段環(huán)境

  1、硬件、虛擬化都支持:多款集群方案,無論是對接F5反代不改源IP,還是插件式部署,對接Nginx不改網(wǎng)絡拓撲,抑或是統(tǒng)一流量編排,面向客戶不同部署環(huán)境,保障業(yè)務高穩(wěn)定、高可用。

  2、虛擬WAF:配合業(yè)務上云節(jié)奏,對接14種品類云平臺,保障客戶業(yè)務無憂上云。

  3、云原生WAF:伴隨應用的云原生化,將安全能力適配云原生架構,融入微服務場景。提供適配K8S、Ingress controller部署的容器化WAF,并進階提供適配envoy服務網(wǎng)格架構的云原生WAF,輕量級、無感知的與微服務應用伴生,解決東西向防護需求,覆蓋數(shù)千容器運維管理場景。

  4、硬件、虛擬化都支持:產品能力組件化。為進行全面防護,原有產品以糖葫蘆式堆疊部署,流量挨個串行解析,每個節(jié)點均為單點故障點,整體時延加長,數(shù)通層面重復加載,各自為營。通過實現(xiàn)安全引擎組件化,解耦隔離數(shù)通層與安全防護層,流量一次解析,按需動態(tài)加載防護能力。保障業(yè)務高穩(wěn)定的前提下,提供輕量級、靈活化的防護能力。

  維度三:步步為營,協(xié)同合作

  1、按需組合:抗D防護,識別DDoS攻擊,進行大額流量清洗。Web安全防護,面向URL、API,阻斷漏洞利用攻擊,進行“黑”流量清洗。Bot管理,識別自動化工具,客戶端環(huán)境驗證,進行“灰”流量清洗。API安全防護,識別越權、生成業(yè)務圖譜,進行“白”流量辨別。

  結合客戶防護優(yōu)先級,支持靈活組合產品能力,基于實際業(yè)務場景提供專屬特色方案,保障Web應用、移動應用、API免受各種不同的攻擊。

  2、前后呼應:經(jīng)過API網(wǎng)關認證后的合法身份,若被檢測有攻擊行為,支持與API網(wǎng)關聯(lián)動,進行身份封禁。

  3、安全左移:支持對接包含代碼掃描、應用掃描后的漏洞掃描結果,針對漏洞信息,提供不同層面的智能補丁,保障業(yè)務快速發(fā)布的同時,代碼加固同步配合。

  維度四:可提供WAAP端側能力,也支持WAAP平臺側服務

  一體化管理的端側能力:輕量化的docker部署,摒棄底層依賴;基于業(yè)務流量變化,動態(tài)加載安全組件數(shù)量;端側流量統(tǒng)一編排,擬人化的安全配置界面(同一產品,不分數(shù)量,一處配置入口)。

  多維展示的平臺側服務:面向運維,統(tǒng)一管控多個端側;面向用戶,用戶資產風險完整性評估;匯集端側數(shù)據(jù),關聯(lián)分析攻擊信息,輸出全面的攻擊面像。

  在客戶場景下的實際應用

  簡而言之,面對企業(yè)用戶在業(yè)務、規(guī)模的不同發(fā)展階段、行業(yè)屬性所帶來的不同側重的風險問題、不同的優(yōu)先級,以及部署位置的不同,都可以結合綠盟科技的WAAP產品方案,選擇貼合自身需求的方案組成與產品形態(tài)。

  這里做三種場景下不同解決方案選擇的簡單舉例:

  場景一:客戶合規(guī)為主,在漏洞利用防護的基礎上,面臨數(shù)據(jù)爬取、惡意掃描、惡意注冊的困境。

  解決方案:配置集Web安全、Bot管理、API安全為一體的WAF型號,或者通過WAF升級,新增Bot管理、API安全功能模塊。為用戶提供快速、全面的安全能力。

  場景二:客戶業(yè)務場景多元,如互聯(lián)網(wǎng)電商企業(yè)、醫(yī)院、國家電網(wǎng),有更趨向于業(yè)務安全的薅羊毛、庫存占用、惡意競價、拖庫、賬號接管、黃牛黨等場景。

  解決方案:在已有WAF產品的基礎上,可加購提供更加專業(yè)化方案的Bot管理產品(BMG),在應用安全防護的基礎上,提供業(yè)務安全防護能力。

  場景三:云原生環(huán)境。面向節(jié)假日,流量波動大。既有南北,也有東西向防護需求,需要防護產品更貼近業(yè)務側,而不僅僅是在網(wǎng)關處,集群部署,統(tǒng)一運維,風險集中管控。

  解決方案:打包提供WAAP端側及WAAP平臺側能力,面向每個業(yè)務伴生發(fā)布云原生安全組件,通過最小粒度組件化的安全引擎進行進行安全能力加載,結合業(yè)務流量的變化,動態(tài)加載安全組件數(shù)量,提供統(tǒng)一的運維管理及業(yè)務風險管理可視化界面。

  總結

  隨著API以及線上業(yè)務的開展,綠盟科技也將持續(xù)提升針對OWASP TOP 10、OWASP API Security TOP 10、OWASP Automated Threats的威脅防御能力,為企業(yè)線上的數(shù)字化業(yè)務提供堅實的安全防護。后續(xù),我們將更加深入的介紹下一代應用安全防護解決方案中的產品提供的價值及特性,期待與行業(yè)同仁一道,攜手推進安全領域的進一步健康發(fā)展,共同應對應用安全防護的新挑戰(zhàn)。

  參考文獻

  1 State of API Security, Salt Labs Q1 2022.5.

  2 The State of the Internet, Akamai.

  3 Protecting Your APIs From Abuse Data Exfiltration, Cloudflare.

  4 Magic Quadrant for Web Application API Protection, 20 September 2021.

(免責聲明:本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時,應及時向本網(wǎng)站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內容或斷開相關鏈接。 )