Facebook又雙叒叕數(shù)據(jù)泄露了，為什么互聯(lián)網(wǎng)巨頭也難逃API攻擊？

每一天，數(shù)億個API被各大網(wǎng)站、APP頻繁調用，構建出一個高度開放和效率的互聯(lián)網(wǎng)世界。然而，人們習以為常的API，卻逐漸成為不法黑客進行攻擊的對象。目前，全球的API數(shù)量仍在呈爆發(fā)式增長，API安全應引起人們足夠的重視。

API攻擊帶來的大規(guī)模用戶數(shù)據(jù)泄露悲劇，已經(jīng)在全球多個互聯(lián)網(wǎng)巨頭身上重演。

今年3月底，新浪微博因用戶查詢接口被惡意調用，導致5.38億微博用戶數(shù)據(jù)泄露，其中1.72億有賬號基本信息，被公開在網(wǎng)上售賣。

當月，F(xiàn)acebook被漏洞賞金獵人Amol Baikar曝出其OAuth框架權限繞過的API漏洞，并因此獲取賞金$55,000美元。

而這并不是Facebook第一次發(fā)現(xiàn)自身存在的API漏洞。2018年10月，F(xiàn)acebook因API漏洞，使得5000多萬個用戶信息被公開。

2019年12月，F(xiàn)acebook因API安全漏洞，使黑客在訪問受限的情況下也能訪問用戶的ID和電話號碼，從而導致2.67億個用戶的隱私數(shù)據(jù)被非法售賣。

眾所周知，API并不是一個新事物，經(jīng)過多年的發(fā)展，其相關的技術和協(xié)議已相當成熟。然而，為什么連Facebook這種首屈一指的大玩家，都沒能幸免API安全問題？

傳統(tǒng)防護體系之外的API安全

從API的發(fā)展歷史看，API技術的發(fā)展加速了API的廣泛使用，而API的廣泛使用又促進API技術的發(fā)展。

在國外，繼Facebook的開放平臺獲得成功之后，微軟、google相繼推出了自己的開放平臺戰(zhàn)略。在國內，頭部的互聯(lián)網(wǎng)公司也開放了自己的API平臺，典型的有微博、百度、騰訊等。

在巨頭的推動下，API開放已成為互聯(lián)網(wǎng)的標配。據(jù)百度地圖公開數(shù)據(jù)顯示，截止2019年12月10日，其位置服務請求次數(shù)突破1200億次。在中國移動的物聯(lián)網(wǎng)開放平臺OneNET上，日均API調用超過2億次。

可以看到，如今在互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)上，API的數(shù)量和調用次數(shù)都頗為驚人。

從企業(yè)使用API的情況看，據(jù)消費研究公司One Poll一項調查表明，企業(yè)平均管理著363個API，其中69%的公司會向公眾及其合作伙伴開放這些API。

雖然企業(yè)還在不停地增加API的使用，然而大多數(shù)企業(yè)并不清楚自己擁有多少個API，也不知道API處于什么狀態(tài)，這就給黑客帶來了更多的入侵機會。有數(shù)據(jù)表明，2014年全球網(wǎng)絡攻擊流量有40%來自API，而到了2018年已經(jīng)飆升到83%。

綠盟科技專家在接受科技云報道采訪時表示，API安全問題頻發(fā)的主要原因，在于API資產(chǎn)數(shù)量多、管理難，清點API資產(chǎn)容易出現(xiàn)遺漏。可以說，API安全最難落地的一步恰恰是第一步，即API資產(chǎn)梳理。如果能徹底做好這一步，后面的安全能力建設就會順暢很多。

同時，由于API 處于傳統(tǒng)網(wǎng)絡安全防御體系的覆蓋之外，API安全問題沒有受到足夠的重視，針對API的攻擊成本也就更低。

除此之外，如果企業(yè)公開了不該暴露的API，沒有做好最小化信息反饋，認證鑒權機制不夠完善甚至缺失，均會導致嚴重的API安全隱患。

應對API攻擊的整合安全能力

針對企業(yè)在API使用和管理上的疏漏，綠盟科技專家表示，API攻擊一般會通過以下4種方式：

• 未授權訪問

業(yè)務場景復雜、迭代升級頻繁，API權限控制較難做到萬無一失。API業(yè)務邏輯漏洞難以在測試時被發(fā)現(xiàn)，一旦某個接口權限控制出現(xiàn)問題，未授權訪問帶來的后果難以預料。

從Facebook頻發(fā)的API安全事件看，其漏洞正是在于失效的用戶身份認證。

• 參數(shù)的非法篡改

對API參數(shù)進行非法篡改和拼接，是目前API攻擊中的主流。各類試探性攻擊也通常采用此方式發(fā)起攻擊。一旦服務端參數(shù)校驗存在邏輯漏洞，API參數(shù)篡改很容易帶來數(shù)據(jù)泄露、數(shù)字資產(chǎn)損失甚至真實的金融風險。

• 接口濫用

國際調研機構Gartner曾指出，2022年，API濫用將成為最常見的攻擊方式之一。短信、電郵等API接口被濫用，不僅給服務提供商帶來了經(jīng)濟損失，同時影響了正常用戶的業(yè)務辦理。

• DDoS攻擊

對未限流的API發(fā)起DDoS攻擊，消耗服務器資源或帶寬資源，使部分業(yè)務癱瘓，是最粗暴血腥的攻擊方式之一。

可以看到，API攻擊利用了多種安全漏洞。對此，派拉軟件專家指出，API安全涉及API資產(chǎn)管理、身份認證、API鑒權、數(shù)據(jù)安全等多種安全防護領域，包含了從DMZ區(qū)到APP區(qū)的整個過程的安全防護以及防止敏感信息泄露。

因此，業(yè)界關于API安全的解決方案，主要思路是利用API網(wǎng)關形態(tài)的產(chǎn)品，從傳輸層加密、API資產(chǎn)的集中全生命周期的管理、最小化授權、對應用和用戶身份進行認證等角度，整合API管理的通用能力。

另外，及時發(fā)現(xiàn)和阻止API的濫用、數(shù)據(jù)加密、防重放攻擊等也是廣受關注的API安全思路。

API網(wǎng)關產(chǎn)品如何解API之痛？

目前，由于API安全的市場意識還不夠，許多企業(yè)僅僅將API管理網(wǎng)關視為臨時解決方案。針對API的安全管控也沒有太多成熟的產(chǎn)品和方案，只有一些WAF廠商提供基本的API安全功能，如：Akamai、Imperva在WAF防護能力中提出API的安全防護，以及Kong、NGINX、WSO2這樣小而美的解決方案。

在國內，這一情況正在被專業(yè)安全廠商改善，綠盟科技、派拉軟件、瑞數(shù)信息等安全廠商相繼推出了針對API的安全解決方案，在不同的業(yè)務場景下各有側重。

綠盟科技的API安全防護方案由多款產(chǎn)品組成，能力涉及抗DDoS、Web應用安全防護、身份認證、訪問控制等多個維度。這其中最核心的是SAG（綠盟API安全網(wǎng)關）、UIP（綠盟統(tǒng)一身份認證平臺）、BMG（綠盟業(yè)務安全網(wǎng)關）三款產(chǎn)品。

SAG 和 UIP可為企業(yè)提供API資產(chǎn)的全生命周期管理能力。通過統(tǒng)一代理、統(tǒng)一認證、精細化的流控等手段，實現(xiàn)API訪問控制的最小化授權。

BMG 則側重API安全防護，如在客戶端實現(xiàn)流量加密，不僅可有效防止參數(shù)的非法篡改，還能在一定程度保障敏感數(shù)據(jù)交互的安全。此外，全面、細粒度的日志審計能力，也是非常有必要的。

派拉軟件的方案則是以API網(wǎng)關為重點，并配合API管理平臺和API門戶，對API進行全生命周期的管控，是融合了微服務網(wǎng)關和企業(yè)級應用網(wǎng)關的一體化解決方案，包含WAF動態(tài)安全防護、安全認證、加解密、加驗簽、限流、API鑒權等多種安全功能。

那么，在實際的業(yè)務場景中，這些API安全方案該如何應用呢？

以某銀行機構為例，由于該銀行未對API做統(tǒng)一管理，當某個敏捷項目上線時，版本快速迭代，較多API資產(chǎn)對外暴露，導致了一些API安全風險，如：部分API未授權訪問、未做參數(shù)校驗等。

考慮到銀行機構一般都部署了NF、WAF、ADS等安全產(chǎn)品，因此針對這類API安全隱患，需重點補充API資產(chǎn)管理、訪問控制以及安全防護能力，這是綠盟科技的API安全網(wǎng)關、統(tǒng)一身份認證平臺和業(yè)務安全網(wǎng)關這三款產(chǎn)品能夠對應提供的。

例如，綠盟API安全網(wǎng)關，能夠統(tǒng)一管理企業(yè)對外API接口，實現(xiàn)TLS/國密加密會話，并將API調用的最小化授權、細粒度流控、日志審計等通用安全能力整合起來，加強API安全的同時提高安全運維效率。特別對金融機構，當發(fā)現(xiàn)異常接口調用時，可第一時間暫停服務調用，熔斷降級（如拒絕交易等）。

再看某城商行聯(lián)盟機構，其API門戶為聯(lián)盟下的40多家銀行和券商機構提供統(tǒng)一的API服務，無論是內部應用還是外部第三方的應用，API調用頻繁，且涉及多方角色、多種業(yè)務，因此針對API門戶進行API網(wǎng)關建設尤為重要。

對此，派拉軟件的API網(wǎng)關方案從身份認證、安全防護、數(shù)據(jù)安全三個方面出發(fā)，滿足企業(yè)在安全防護、安全認證、進入控制、API鑒權、合規(guī)性審查等方面的需求，從而實現(xiàn)API細粒度的防護。

例如：當不可控的外部調用API時，通過限流、熔斷、降權等多種策略對后端服務進行保護。涉及API非法調用時，可采用Token、OAuth等多種API鑒權方式。當通過API進行應用登陸時，則根據(jù)不同的業(yè)務級別實施不同的身份認證方式，并進行統(tǒng)一的身份管理。

同時，派拉軟件專家也指出，雖然API安全防護非常重要，但也應結合行業(yè)特征來考慮安全投入與應用性之間的平衡。

在Facebook這樣的互聯(lián)網(wǎng)巨頭中，企業(yè)會重點關注著高并發(fā)下的API服務能力，如果使用了過多的安全策略，很大程度上會導致API服務的性能和應用性不友好。

而在金融、汽車制造等行業(yè)，對交易和生產(chǎn)的穩(wěn)定性、安全性要求更高，而并發(fā)數(shù)并不像大型互聯(lián)網(wǎng)企業(yè)那么高，因此這類企業(yè)會在政策監(jiān)管的要求下，對API安全進行更加全面的防護。

如今，越來越多的企業(yè)在APP、H5、微信小程序等移動端發(fā)起業(yè)務，在微服務化的趨勢下，內外網(wǎng)的交互也越來越多?？梢灶A見，無論是在互聯(lián)網(wǎng)還是傳統(tǒng)行業(yè)，API安全網(wǎng)關將是各大企業(yè)不可或缺的安全大門，而API安全市場也將因此迎來爆發(fā)式增長。

【關于科技云報道】

專注于原創(chuàng)的企業(yè)級內容行家——科技云報道。成立于2015年，是前沿企業(yè)級IT領域Top10媒體。獲工信部權威認可，可信云、全球云計算大會官方指定傳播媒體之一。深入原創(chuàng)報道云計算、大數(shù)據(jù)、人工智能、區(qū)塊鏈等領域。

生成海報

免責聲明：本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產(chǎn)權或存在不實內容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。