Facebook又雙叒叕數(shù)據(jù)泄露了，為什么互聯(lián)網(wǎng)巨頭也難逃API攻擊？

每一天，數(shù)億個(gè)API被各大網(wǎng)站、APP頻繁調(diào)用，構(gòu)建出一個(gè)高度開放和效率的互聯(lián)網(wǎng)世界。然而，人們習(xí)以為常的API，卻逐漸成為不法黑客進(jìn)行攻擊的對(duì)象。目前，全球的API數(shù)量仍在呈爆發(fā)式增長(zhǎng)，API安全應(yīng)引起人們足夠的重視。

API攻擊帶來(lái)的大規(guī)模用戶數(shù)據(jù)泄露悲劇，已經(jīng)在全球多個(gè)互聯(lián)網(wǎng)巨頭身上重演。

今年3月底，新浪微博因用戶查詢接口被惡意調(diào)用，導(dǎo)致5.38億微博用戶數(shù)據(jù)泄露，其中1.72億有賬號(hào)基本信息，被公開在網(wǎng)上售賣。

當(dāng)月，F(xiàn)acebook被漏洞賞金獵人Amol Baikar曝出其OAuth框架權(quán)限繞過(guò)的API漏洞，并因此獲取賞金$55,000美元。

而這并不是Facebook第一次發(fā)現(xiàn)自身存在的API漏洞。2018年10月，F(xiàn)acebook因API漏洞，使得5000多萬(wàn)個(gè)用戶信息被公開。

2019年12月，F(xiàn)acebook因API安全漏洞，使黑客在訪問受限的情況下也能訪問用戶的ID和電話號(hào)碼，從而導(dǎo)致2.67億個(gè)用戶的隱私數(shù)據(jù)被非法售賣。

眾所周知，API并不是一個(gè)新事物，經(jīng)過(guò)多年的發(fā)展，其相關(guān)的技術(shù)和協(xié)議已相當(dāng)成熟。然而，為什么連Facebook這種首屈一指的大玩家，都沒能幸免API安全問題？

傳統(tǒng)防護(hù)體系之外的API安全

從API的發(fā)展歷史看，API技術(shù)的發(fā)展加速了API的廣泛使用，而API的廣泛使用又促進(jìn)API技術(shù)的發(fā)展。

在國(guó)外，繼Facebook的開放平臺(tái)獲得成功之后，微軟、google相繼推出了自己的開放平臺(tái)戰(zhàn)略。在國(guó)內(nèi)，頭部的互聯(lián)網(wǎng)公司也開放了自己的API平臺(tái)，典型的有微博、百度、騰訊等。

在巨頭的推動(dòng)下，API開放已成為互聯(lián)網(wǎng)的標(biāo)配。據(jù)百度地圖公開數(shù)據(jù)顯示，截止2019年12月10日，其位置服務(wù)請(qǐng)求次數(shù)突破1200億次。在中國(guó)移動(dòng)的物聯(lián)網(wǎng)開放平臺(tái)OneNET上，日均API調(diào)用超過(guò)2億次。

可以看到，如今在互聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)上，API的數(shù)量和調(diào)用次數(shù)都頗為驚人。

從企業(yè)使用API的情況看，據(jù)消費(fèi)研究公司One Poll一項(xiàng)調(diào)查表明，企業(yè)平均管理著363個(gè)API，其中69%的公司會(huì)向公眾及其合作伙伴開放這些API。

雖然企業(yè)還在不停地增加API的使用，然而大多數(shù)企業(yè)并不清楚自己擁有多少個(gè)API，也不知道API處于什么狀態(tài)，這就給黑客帶來(lái)了更多的入侵機(jī)會(huì)。有數(shù)據(jù)表明，2014年全球網(wǎng)絡(luò)攻擊流量有40%來(lái)自API，而到了2018年已經(jīng)飆升到83%。

綠盟科技專家在接受科技云報(bào)道采訪時(shí)表示，API安全問題頻發(fā)的主要原因，在于API資產(chǎn)數(shù)量多、管理難，清點(diǎn)API資產(chǎn)容易出現(xiàn)遺漏。可以說(shuō)，API安全最難落地的一步恰恰是第一步，即API資產(chǎn)梳理。如果能徹底做好這一步，后面的安全能力建設(shè)就會(huì)順暢很多。

同時(shí)，由于API 處于傳統(tǒng)網(wǎng)絡(luò)安全防御體系的覆蓋之外，API安全問題沒有受到足夠的重視，針對(duì)API的攻擊成本也就更低。

除此之外，如果企業(yè)公開了不該暴露的API，沒有做好最小化信息反饋，認(rèn)證鑒權(quán)機(jī)制不夠完善甚至缺失，均會(huì)導(dǎo)致嚴(yán)重的API安全隱患。

應(yīng)對(duì)API攻擊的整合安全能力

針對(duì)企業(yè)在API使用和管理上的疏漏，綠盟科技專家表示，API攻擊一般會(huì)通過(guò)以下4種方式：

?    未授權(quán)訪問

業(yè)務(wù)場(chǎng)景復(fù)雜、迭代升級(jí)頻繁，API權(quán)限控制較難做到萬(wàn)無(wú)一失。API業(yè)務(wù)邏輯漏洞難以在測(cè)試時(shí)被發(fā)現(xiàn)，一旦某個(gè)接口權(quán)限控制出現(xiàn)問題，未授權(quán)訪問帶來(lái)的后果難以預(yù)料。

從Facebook頻發(fā)的API安全事件看，其漏洞正是在于失效的用戶身份認(rèn)證。

?    參數(shù)的非法篡改

對(duì)API參數(shù)進(jìn)行非法篡改和拼接，是目前API攻擊中的主流。各類試探性攻擊也通常采用此方式發(fā)起攻擊。一旦服務(wù)端參數(shù)校驗(yàn)存在邏輯漏洞，API參數(shù)篡改很容易帶來(lái)數(shù)據(jù)泄露、數(shù)字資產(chǎn)損失甚至真實(shí)的金融風(fēng)險(xiǎn)。

?    接口濫用

國(guó)際調(diào)研機(jī)構(gòu)Gartner曾指出，2022年，API濫用將成為最常見的攻擊方式之一。短信、電郵等API接口被濫用，不僅給服務(wù)提供商帶來(lái)了經(jīng)濟(jì)損失，同時(shí)影響了正常用戶的業(yè)務(wù)辦理。

?    DDoS攻擊

對(duì)未限流的API發(fā)起DDoS攻擊，消耗服務(wù)器資源或帶寬資源，使部分業(yè)務(wù)癱瘓，是最粗暴血腥的攻擊方式之一。

可以看到，API攻擊利用了多種安全漏洞。對(duì)此，派拉軟件專家指出，API安全涉及API資產(chǎn)管理、身份認(rèn)證、API鑒權(quán)、數(shù)據(jù)安全等多種安全防護(hù)領(lǐng)域，包含了從DMZ區(qū)到APP區(qū)的整個(gè)過(guò)程的安全防護(hù)以及防止敏感信息泄露。

因此，業(yè)界關(guān)于API安全的解決方案，主要思路是利用API網(wǎng)關(guān)形態(tài)的產(chǎn)品，從傳輸層加密、API資產(chǎn)的集中全生命周期的管理、最小化授權(quán)、對(duì)應(yīng)用和用戶身份進(jìn)行認(rèn)證等角度，整合API管理的通用能力。

另外，及時(shí)發(fā)現(xiàn)和阻止API的濫用、數(shù)據(jù)加密、防重放攻擊等也是廣受關(guān)注的API安全思路。

API網(wǎng)關(guān)產(chǎn)品如何解API之痛？

目前，由于API安全的市場(chǎng)意識(shí)還不夠，許多企業(yè)僅僅將API管理網(wǎng)關(guān)視為臨時(shí)解決方案。針對(duì)API的安全管控也沒有太多成熟的產(chǎn)品和方案，只有一些WAF廠商提供基本的API安全功能，如：Akamai、Imperva在WAF防護(hù)能力中提出API的安全防護(hù)，以及Kong、NGINX、WSO2這樣小而美的解決方案。

在國(guó)內(nèi)，這一情況正在被專業(yè)安全廠商改善，綠盟科技、派拉軟件、瑞數(shù)信息等安全廠商相繼推出了針對(duì)API的安全解決方案，在不同的業(yè)務(wù)場(chǎng)景下各有側(cè)重。

綠盟科技的API安全防護(hù)方案由多款產(chǎn)品組成，能力涉及抗DDoS、Web應(yīng)用安全防護(hù)、身份認(rèn)證、訪問控制等多個(gè)維度。這其中最核心的是SAG（綠盟API安全網(wǎng)關(guān)）、UIP（綠盟統(tǒng)一身份認(rèn)證平臺(tái)）、BMG（綠盟業(yè)務(wù)安全網(wǎng)關(guān)）三款產(chǎn)品。

SAG 和 UIP可為企業(yè)提供API資產(chǎn)的全生命周期管理能力。通過(guò)統(tǒng)一代理、統(tǒng)一認(rèn)證、精細(xì)化的流控等手段，實(shí)現(xiàn)API訪問控制的最小化授權(quán)。

BMG 則側(cè)重API安全防護(hù)，如在客戶端實(shí)現(xiàn)流量加密，不僅可有效防止參數(shù)的非法篡改，還能在一定程度保障敏感數(shù)據(jù)交互的安全。此外，全面、細(xì)粒度的日志審計(jì)能力，也是非常有必要的。

派拉軟件的方案則是以API網(wǎng)關(guān)為重點(diǎn)，并配合API管理平臺(tái)和API門戶，對(duì)API進(jìn)行全生命周期的管控，是融合了微服務(wù)網(wǎng)關(guān)和企業(yè)級(jí)應(yīng)用網(wǎng)關(guān)的一體化解決方案，包含WAF動(dòng)態(tài)安全防護(hù)、安全認(rèn)證、加解密、加驗(yàn)簽、限流、API鑒權(quán)等多種安全功能。

那么，在實(shí)際的業(yè)務(wù)場(chǎng)景中，這些API安全方案該如何應(yīng)用呢？

以某銀行機(jī)構(gòu)為例，由于該銀行未對(duì)API做統(tǒng)一管理，當(dāng)某個(gè)敏捷項(xiàng)目上線時(shí)，版本快速迭代，較多API資產(chǎn)對(duì)外暴露，導(dǎo)致了一些API安全風(fēng)險(xiǎn)，如：部分API未授權(quán)訪問、未做參數(shù)校驗(yàn)等。

考慮到銀行機(jī)構(gòu)一般都部署了NF、WAF、ADS等安全產(chǎn)品，因此針對(duì)這類API安全隱患，需重點(diǎn)補(bǔ)充API資產(chǎn)管理、訪問控制以及安全防護(hù)能力，這是綠盟科技的API安全網(wǎng)關(guān)、統(tǒng)一身份認(rèn)證平臺(tái)和業(yè)務(wù)安全網(wǎng)關(guān)這三款產(chǎn)品能夠?qū)?yīng)提供的。

例如，綠盟API安全網(wǎng)關(guān)，能夠統(tǒng)一管理企業(yè)對(duì)外API接口，實(shí)現(xiàn)TLS/國(guó)密加密會(huì)話，并將API調(diào)用的最小化授權(quán)、細(xì)粒度流控、日志審計(jì)等通用安全能力整合起來(lái)，加強(qiáng)API安全的同時(shí)提高安全運(yùn)維效率。特別對(duì)金融機(jī)構(gòu)，當(dāng)發(fā)現(xiàn)異常接口調(diào)用時(shí)，可第一時(shí)間暫停服務(wù)調(diào)用，熔斷降級(jí)（如拒絕交易等）。

再看某城商行聯(lián)盟機(jī)構(gòu)，其API門戶為聯(lián)盟下的40多家銀行和券商機(jī)構(gòu)提供統(tǒng)一的API服務(wù)，無(wú)論是內(nèi)部應(yīng)用還是外部第三方的應(yīng)用，API調(diào)用頻繁，且涉及多方角色、多種業(yè)務(wù)，因此針對(duì)API門戶進(jìn)行API網(wǎng)關(guān)建設(shè)尤為重要。

對(duì)此，派拉軟件的API網(wǎng)關(guān)方案從身份認(rèn)證、安全防護(hù)、數(shù)據(jù)安全三個(gè)方面出發(fā)，滿足企業(yè)在安全防護(hù)、安全認(rèn)證、進(jìn)入控制、API鑒權(quán)、合規(guī)性審查等方面的需求，從而實(shí)現(xiàn)API細(xì)粒度的防護(hù)。

例如：當(dāng)不可控的外部調(diào)用API時(shí)，通過(guò)限流、熔斷、降權(quán)等多種策略對(duì)后端服務(wù)進(jìn)行保護(hù)。涉及API非法調(diào)用時(shí)，可采用Token、OAuth等多種API鑒權(quán)方式。當(dāng)通過(guò)API進(jìn)行應(yīng)用登陸時(shí)，則根據(jù)不同的業(yè)務(wù)級(jí)別實(shí)施不同的身份認(rèn)證方式，并進(jìn)行統(tǒng)一的身份管理。

同時(shí)，派拉軟件專家也指出，雖然API安全防護(hù)非常重要，但也應(yīng)結(jié)合行業(yè)特征來(lái)考慮安全投入與應(yīng)用性之間的平衡。

在Facebook這樣的互聯(lián)網(wǎng)巨頭中，企業(yè)會(huì)重點(diǎn)關(guān)注著高并發(fā)下的API服務(wù)能力，如果使用了過(guò)多的安全策略，很大程度上會(huì)導(dǎo)致API服務(wù)的性能和應(yīng)用性不友好。

而在金融、汽車制造等行業(yè)，對(duì)交易和生產(chǎn)的穩(wěn)定性、安全性要求更高，而并發(fā)數(shù)并不像大型互聯(lián)網(wǎng)企業(yè)那么高，因此這類企業(yè)會(huì)在政策監(jiān)管的要求下，對(duì)API安全進(jìn)行更加全面的防護(hù)。

如今，越來(lái)越多的企業(yè)在APP、H5、微信小程序等移動(dòng)端發(fā)起業(yè)務(wù)，在微服務(wù)化的趨勢(shì)下，內(nèi)外網(wǎng)的交互也越來(lái)越多?？梢灶A(yù)見，無(wú)論是在互聯(lián)網(wǎng)還是傳統(tǒng)行業(yè)，API安全網(wǎng)關(guān)將是各大企業(yè)不可或缺的安全大門，而API安全市場(chǎng)也將因此迎來(lái)爆發(fā)式增長(zhǎng)。

【關(guān)于科技云報(bào)道】

專注于原創(chuàng)的企業(yè)級(jí)內(nèi)容行家——科技云報(bào)道。成立于2015年，是前沿企業(yè)級(jí)IT領(lǐng)域Top10媒體。獲工信部權(quán)威認(rèn)可，可信云、全球云計(jì)算大會(huì)官方指定傳播媒體之一。深入原創(chuàng)報(bào)道云計(jì)算、大數(shù)據(jù)、人工智能、區(qū)塊鏈等領(lǐng)域。

來(lái)源：科技云報(bào)道

生成海報(bào)

免責(zé)聲明：此文內(nèi)容為第三方自媒體作者發(fā)布的觀察或評(píng)論性文章，所有文字和圖片版權(quán)歸作者所有，且僅代表作者個(gè)人觀點(diǎn)，與極客網(wǎng)無(wú)關(guān)。文章僅供讀者參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。投訴郵箱：editor@fromgeek.com。

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。