网络威胁攻击者“盯上了” API

近期， Imperva发布的《2024年API安全状况报告》中提到，2023年的大部分互联网流量（71%）都是由API调用，通过API传输的大量互联网流量应该引起每一位网络安全专家的关注。

目前，尽管大部分企业已经尽最大努力采用了左移框架和SDLC流程，但API仍经常在编目、验证或审计之前就被嵌入到了业务流程中（企业在生产中平均拥有613个API端点），随着当下向客户更快、更高效地交付数字服务的压力不断增加，这一数字也在迅速扩大。

随着时间推移，API可能会成为有风险、易受攻击的端点。

Imperva在报告中指出，鉴于API是访问敏感数据的直接途径，早已成为网络威胁攻击者的常见攻击载体。事实上，Marsh McLennan网络风险分析中心的一项研究发现，与API相关的安全事件每年给全球企业造成的损失高达750亿美元。

值得一提的是，研究发现相比其他行业，银行业和在线零售业在2023年的API调用量最高，这两个行业都依赖大型API生态系统向客户提供数字服务。网络威胁攻击者使用各种”手段“攻击API端点，其中一个常见的攻击载体便是账户接管（ATO）。当网络威胁攻击者利用API身份验证流程中的安全漏洞，未经授权访问账户时，就会发动这种攻击。

2023年，近一半（45.8%）的ATO攻击以API端点为目标，这些”企图“通常是以恶意机器人的形式通过自动化来实现（注:恶意机器人是指怀有恶意运行自动化任务的软件代理)。考虑到银行以及其他金融机构管理的客户数据信息价值，ATO是一个非常令人担忧的业务风险。

这种攻击一旦成功，网络威胁攻击者就会立刻锁定受害者的账户，盗取敏感数据。不仅仅造成经济损失，还会增加违规风险。

目前来看，因为没有受到合理的监管，以及缺乏足够的身份验证控制，导致每10个应用程序接口中就有近一个容易受到网络攻击，降低API的安全风险具有很大挑战，即使最成熟的安全团队也会为此感到”棘手“。其中主要的问题源于软件开发的快节奏，以及缺乏成熟的工具和流程来帮助开发人员和安全团队更好地协同工作。

Imperva在报告中指出了影子API、废弃API和未认证API三种常见的API端点管理不善类型，它们会给企业带来安全风险：

影子API： 这些API也称为未记录或未发现的API，它们不受监督、被遗忘和或不在安全团队的可见范围内。据Imperva估计，影子API占每个组织活动API集合的4.7%。如果不对这些API端点进行适当的编目或管理，就会出现安全问题。

企业应该关注影子API，它们通常可以访问到敏感信息，但没有人知道它们的存在位置或连接内容。一个影子API就可能导致合规违规和监管罚款，更有甚者，有动机的网络犯罪分子会滥用它来访问企业的敏感数据。

废弃的API： 废弃API端点是软件生命周期中的一个自然过程。因此，随着软件的快速、持续更新，被废弃的API并不少见。

事实上，据Imperva估算，已废弃的API平均占企业活动API集合的2.6%。当端点被废弃时，支持此类端点的服务就会更新，对废弃端点的请求就会失败。但是，如果服务没有更新，API也没有删除，端点就会因为缺乏必要的补丁和软件更新而变得脆弱。

未经验证的API： 未验证的API通常是由于配置错误、匆忙发布过程中的疏忽或为适应旧版本软件而放宽了严格的验证过程而引入的。这些应用程序接口平均占企业活动应用程序接口集合的3.4%。未经身份验证的API的存在给企业带来了巨大的风险，因为它可能会将敏感数据或功能暴露给未经授权的用户，从而导致数据泄露或系统操纵。

为降低管理不善的API带来的各种安全风险，建议企业进行定期审计，以识别未监控或未经身份验证的API端点。此外，开发人员应定期更新和升级API，以确保用更安全的替代品取代过时的端点。

API的安全风险与日俱增，严重影响了企业正常经营生产。对此，Imperva提出了几项建议，以帮助企业改善API安全状况：

• 发现、分类和清查所有API、端点、参数和有效载荷，使用持续发现来维护始终最新的API清单，并披露敏感数据的暴露情况；
• 识别并保护敏感和高风险API，执行风险评估，特别是针对易受授权和身份验证漏洞以及过度数据暴露影响的API端点；
• 为API端点建立强大的监控系统，主动检测和分析可疑行为和访问模式；
• 采用API安全方法，将Web应用程序防火墙 (WAF)、API 保护、分布式拒绝服务 (DDoS) 防范和僵尸程序保护整合在一起。