Facebook又雙叒叕數(shù)據(jù)泄露了，為什么互聯(lián)網(wǎng)巨頭也難逃API攻擊？

每一天，數(shù)億個API被各大網(wǎng)站、APP頻繁調(diào)用，構(gòu)建出一個高度開放和效率的互聯(lián)網(wǎng)世界。然而，人們習(xí)以為常的API，卻逐漸成為不法黑客進行攻擊的對象。目前，全球的API數(shù)量仍在呈爆發(fā)式增長，API安全應(yīng)引起人們足夠的重視。

API攻擊帶來的大規(guī)模用戶數(shù)據(jù)泄露悲劇，已經(jīng)在全球多個互聯(lián)網(wǎng)巨頭身上重演。

今年3月底，新浪微博因用戶查詢接口被惡意調(diào)用，導(dǎo)致5.38億微博用戶數(shù)據(jù)泄露，其中1.72億有賬號基本信息，被公開在網(wǎng)上售賣。

當(dāng)月，F(xiàn)acebook被漏洞賞金獵人Amol Baikar曝出其OAuth框架權(quán)限繞過的API漏洞，并因此獲取賞金$55,000美元。

而這并不是Facebook第一次發(fā)現(xiàn)自身存在的API漏洞。2018年10月，F(xiàn)acebook因API漏洞，使得5000多萬個用戶信息被公開。

2019年12月，F(xiàn)acebook因API安全漏洞，使黑客在訪問受限的情況下也能訪問用戶的ID和電話號碼，從而導(dǎo)致2.67億個用戶的隱私數(shù)據(jù)被非法售賣。

眾所周知，API并不是一個新事物，經(jīng)過多年的發(fā)展，其相關(guān)的技術(shù)和協(xié)議已相當(dāng)成熟。然而，為什么連Facebook這種首屈一指的大玩家，都沒能幸免API安全問題？

傳統(tǒng)防護體系之外的API安全

從API的發(fā)展歷史看，API技術(shù)的發(fā)展加速了API的廣泛使用，而API的廣泛使用又促進API技術(shù)的發(fā)展。

在國外，繼Facebook的開放平臺獲得成功之后，微軟、google相繼推出了自己的開放平臺戰(zhàn)略。在國內(nèi)，頭部的互聯(lián)網(wǎng)公司也開放了自己的API平臺，典型的有微博、百度、騰訊等。

在巨頭的推動下，API開放已成為互聯(lián)網(wǎng)的標(biāo)配。據(jù)百度地圖公開數(shù)據(jù)顯示，截止2019年12月10日，其位置服務(wù)請求次數(shù)突破1200億次。在中國移動的物聯(lián)網(wǎng)開放平臺OneNET上，日均API調(diào)用超過2億次。

可以看到，如今在互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)上，API的數(shù)量和調(diào)用次數(shù)都頗為驚人。

從企業(yè)使用API的情況看，據(jù)消費研究公司One Poll一項調(diào)查表明，企業(yè)平均管理著363個API，其中69%的公司會向公眾及其合作伙伴開放這些API。

雖然企業(yè)還在不停地增加API的使用，然而大多數(shù)企業(yè)并不清楚自己擁有多少個API，也不知道API處于什么狀態(tài)，這就給黑客帶來了更多的入侵機會。有數(shù)據(jù)表明，2014年全球網(wǎng)絡(luò)攻擊流量有40%來自API，而到了2018年已經(jīng)飆升到83%。

綠盟科技專家在接受科技云報道采訪時表示，API安全問題頻發(fā)的主要原因，在于API資產(chǎn)數(shù)量多、管理難，清點API資產(chǎn)容易出現(xiàn)遺漏。可以說，API安全最難落地的一步恰恰是第一步，即API資產(chǎn)梳理。如果能徹底做好這一步，后面的安全能力建設(shè)就會順暢很多。

同時，由于API 處于傳統(tǒng)網(wǎng)絡(luò)安全防御體系的覆蓋之外，API安全問題沒有受到足夠的重視，針對API的攻擊成本也就更低。

除此之外，如果企業(yè)公開了不該暴露的API，沒有做好最小化信息反饋，認(rèn)證鑒權(quán)機制不夠完善甚至缺失，均會導(dǎo)致嚴(yán)重的API安全隱患。

應(yīng)對API攻擊的整合安全能力

針對企業(yè)在API使用和管理上的疏漏，綠盟科技專家表示，API攻擊一般會通過以下4種方式：

• 未授權(quán)訪問

業(yè)務(wù)場景復(fù)雜、迭代升級頻繁，API權(quán)限控制較難做到萬無一失。API業(yè)務(wù)邏輯漏洞難以在測試時被發(fā)現(xiàn)，一旦某個接口權(quán)限控制出現(xiàn)問題，未授權(quán)訪問帶來的后果難以預(yù)料。

從Facebook頻發(fā)的API安全事件看，其漏洞正是在于失效的用戶身份認(rèn)證。

• 參數(shù)的非法篡改

對API參數(shù)進行非法篡改和拼接，是目前API攻擊中的主流。各類試探性攻擊也通常采用此方式發(fā)起攻擊。一旦服務(wù)端參數(shù)校驗存在邏輯漏洞，API參數(shù)篡改很容易帶來數(shù)據(jù)泄露、數(shù)字資產(chǎn)損失甚至真實的金融風(fēng)險。

• 接口濫用

國際調(diào)研機構(gòu)Gartner曾指出，2022年，API濫用將成為最常見的攻擊方式之一。短信、電郵等API接口被濫用，不僅給服務(wù)提供商帶來了經(jīng)濟損失，同時影響了正常用戶的業(yè)務(wù)辦理。

• DDoS攻擊

對未限流的API發(fā)起DDoS攻擊，消耗服務(wù)器資源或帶寬資源，使部分業(yè)務(wù)癱瘓，是最粗暴血腥的攻擊方式之一。

可以看到，API攻擊利用了多種安全漏洞。對此，派拉軟件專家指出，API安全涉及API資產(chǎn)管理、身份認(rèn)證、API鑒權(quán)、數(shù)據(jù)安全等多種安全防護領(lǐng)域，包含了從DMZ區(qū)到APP區(qū)的整個過程的安全防護以及防止敏感信息泄露。

因此，業(yè)界關(guān)于API安全的解決方案，主要思路是利用API網(wǎng)關(guān)形態(tài)的產(chǎn)品，從傳輸層加密、API資產(chǎn)的集中全生命周期的管理、最小化授權(quán)、對應(yīng)用和用戶身份進行認(rèn)證等角度，整合API管理的通用能力。

另外，及時發(fā)現(xiàn)和阻止API的濫用、數(shù)據(jù)加密、防重放攻擊等也是廣受關(guān)注的API安全思路。

API網(wǎng)關(guān)產(chǎn)品如何解API之痛？

目前，由于API安全的市場意識還不夠，許多企業(yè)僅僅將API管理網(wǎng)關(guān)視為臨時解決方案。針對API的安全管控也沒有太多成熟的產(chǎn)品和方案，只有一些WAF廠商提供基本的API安全功能，如：Akamai、Imperva在WAF防護能力中提出API的安全防護，以及Kong、NGINX、WSO2這樣小而美的解決方案。

在國內(nèi)，這一情況正在被專業(yè)安全廠商改善，綠盟科技、派拉軟件、瑞數(shù)信息等安全廠商相繼推出了針對API的安全解決方案，在不同的業(yè)務(wù)場景下各有側(cè)重。

綠盟科技的API安全防護方案由多款產(chǎn)品組成，能力涉及抗DDoS、Web應(yīng)用安全防護、身份認(rèn)證、訪問控制等多個維度。這其中最核心的是SAG（綠盟API安全網(wǎng)關(guān)）、UIP（綠盟統(tǒng)一身份認(rèn)證平臺）、BMG（綠盟業(yè)務(wù)安全網(wǎng)關(guān)）三款產(chǎn)品。

SAG 和 UIP可為企業(yè)提供API資產(chǎn)的全生命周期管理能力。通過統(tǒng)一代理、統(tǒng)一認(rèn)證、精細(xì)化的流控等手段，實現(xiàn)API訪問控制的最小化授權(quán)。

BMG 則側(cè)重API安全防護，如在客戶端實現(xiàn)流量加密，不僅可有效防止參數(shù)的非法篡改，還能在一定程度保障敏感數(shù)據(jù)交互的安全。此外，全面、細(xì)粒度的日志審計能力，也是非常有必要的。

派拉軟件的方案則是以API網(wǎng)關(guān)為重點，并配合API管理平臺和API門戶，對API進行全生命周期的管控，是融合了微服務(wù)網(wǎng)關(guān)和企業(yè)級應(yīng)用網(wǎng)關(guān)的一體化解決方案，包含WAF動態(tài)安全防護、安全認(rèn)證、加解密、加驗簽、限流、API鑒權(quán)等多種安全功能。

那么，在實際的業(yè)務(wù)場景中，這些API安全方案該如何應(yīng)用呢？

以某銀行機構(gòu)為例，由于該銀行未對API做統(tǒng)一管理，當(dāng)某個敏捷項目上線時，版本快速迭代，較多API資產(chǎn)對外暴露，導(dǎo)致了一些API安全風(fēng)險，如：部分API未授權(quán)訪問、未做參數(shù)校驗等。

考慮到銀行機構(gòu)一般都部署了NF、WAF、ADS等安全產(chǎn)品，因此針對這類API安全隱患，需重點補充API資產(chǎn)管理、訪問控制以及安全防護能力，這是綠盟科技的API安全網(wǎng)關(guān)、統(tǒng)一身份認(rèn)證平臺和業(yè)務(wù)安全網(wǎng)關(guān)這三款產(chǎn)品能夠?qū)?yīng)提供的。

例如，綠盟API安全網(wǎng)關(guān)，能夠統(tǒng)一管理企業(yè)對外API接口，實現(xiàn)TLS/國密加密會話，并將API調(diào)用的最小化授權(quán)、細(xì)粒度流控、日志審計等通用安全能力整合起來，加強API安全的同時提高安全運維效率。特別對金融機構(gòu)，當(dāng)發(fā)現(xiàn)異常接口調(diào)用時，可第一時間暫停服務(wù)調(diào)用，熔斷降級（如拒絕交易等）。

再看某城商行聯(lián)盟機構(gòu)，其API門戶為聯(lián)盟下的40多家銀行和券商機構(gòu)提供統(tǒng)一的API服務(wù)，無論是內(nèi)部應(yīng)用還是外部第三方的應(yīng)用，API調(diào)用頻繁，且涉及多方角色、多種業(yè)務(wù)，因此針對API門戶進行API網(wǎng)關(guān)建設(shè)尤為重要。

對此，派拉軟件的API網(wǎng)關(guān)方案從身份認(rèn)證、安全防護、數(shù)據(jù)安全三個方面出發(fā)，滿足企業(yè)在安全防護、安全認(rèn)證、進入控制、API鑒權(quán)、合規(guī)性審查等方面的需求，從而實現(xiàn)API細(xì)粒度的防護。

例如：當(dāng)不可控的外部調(diào)用API時，通過限流、熔斷、降權(quán)等多種策略對后端服務(wù)進行保護。涉及API非法調(diào)用時，可采用Token、OAuth等多種API鑒權(quán)方式。當(dāng)通過API進行應(yīng)用登陸時，則根據(jù)不同的業(yè)務(wù)級別實施不同的身份認(rèn)證方式，并進行統(tǒng)一的身份管理。

同時，派拉軟件專家也指出，雖然API安全防護非常重要，但也應(yīng)結(jié)合行業(yè)特征來考慮安全投入與應(yīng)用性之間的平衡。

在Facebook這樣的互聯(lián)網(wǎng)巨頭中，企業(yè)會重點關(guān)注著高并發(fā)下的API服務(wù)能力，如果使用了過多的安全策略，很大程度上會導(dǎo)致API服務(wù)的性能和應(yīng)用性不友好。

而在金融、汽車制造等行業(yè)，對交易和生產(chǎn)的穩(wěn)定性、安全性要求更高，而并發(fā)數(shù)并不像大型互聯(lián)網(wǎng)企業(yè)那么高，因此這類企業(yè)會在政策監(jiān)管的要求下，對API安全進行更加全面的防護。

如今，越來越多的企業(yè)在APP、H5、微信小程序等移動端發(fā)起業(yè)務(wù)，在微服務(wù)化的趨勢下，內(nèi)外網(wǎng)的交互也越來越多。可以預(yù)見，無論是在互聯(lián)網(wǎng)還是傳統(tǒng)行業(yè)，API安全網(wǎng)關(guān)將是各大企業(yè)不可或缺的安全大門，而API安全市場也將因此迎來爆發(fā)式增長。

【關(guān)于科技云報道】

專注于原創(chuàng)的企業(yè)級內(nèi)容行家——科技云報道。成立于2015年，是前沿企業(yè)級IT領(lǐng)域Top10媒體。獲工信部權(quán)威認(rèn)可，可信云、全球云計算大會官方指定傳播媒體之一。深入原創(chuàng)報道云計算、大數(shù)據(jù)、人工智能、區(qū)塊鏈等領(lǐng)域。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。