在過(guò)去幾年中，API 驅(qū)動(dòng)的應(yīng)用程序在企業(yè)級(jí)云平臺(tái)上部署以擴(kuò)展規(guī)模興起。它們能夠根據(jù)用戶(hù)需求進(jìn)行擴(kuò)展，徹底改變了應(yīng)用程序的編寫(xiě)和部署方式。通常，這些分布式應(yīng)用程序部署在 Kubernetes 平臺(tái)上，以便更輕松地管理、編排和部署微服務(wù)容器。

DevOps 團(tuán)隊(duì)投入了大量資源，以確保他們?cè)?Kubernetes 基礎(chǔ)設(shè)施平臺(tái)上運(yùn)行的應(yīng)用程序安全可靠，不會(huì)被利用。這可以包括強(qiáng)化操作系統(tǒng)，通過(guò)跨集群的微分段防止橫向移動(dòng)，以及通過(guò)嚴(yán)格的 RBAC 控制來(lái)限制訪問(wèn)來(lái)防止未經(jīng)授權(quán)的訪問(wèn)。

然而，這只是成功的一半。從 Kubernetes 平臺(tái)上移，部署的 API 驅(qū)動(dòng)的應(yīng)用程序有自己的安全問(wèn)題類(lèi)別，需要不同的方法來(lái)實(shí)現(xiàn)適當(dāng)級(jí)別的安全保護(hù)。API 驅(qū)動(dòng)的應(yīng)用程序的興起助長(zhǎng)了一類(lèi)新的 API 漏洞，這些漏洞無(wú)法被現(xiàn)有的應(yīng)用程序安全產(chǎn)品保護(hù)。

隱藏在底層 API 中的漏洞可能會(huì)暴露等待被利用的弱點(diǎn)，從而暴露關(guān)鍵業(yè)務(wù)數(shù)據(jù)。網(wǎng)絡(luò)犯罪分子已經(jīng)注意到并正在開(kāi)發(fā)新的攻擊向量，以便在企業(yè)向 API 經(jīng)濟(jì)發(fā)展時(shí)利用它們。

需要一種新的方法來(lái)擺脫專(zhuān)注于保護(hù)單體應(yīng)用程序的應(yīng)用程序安全性，并專(zhuān)注于 API 驅(qū)動(dòng)的應(yīng)用程序如何運(yùn)行以提供適當(dāng)級(jí)別的保護(hù)。

以下是企業(yè)在評(píng)估 API 安全解決方案時(shí)應(yīng)考慮的一些關(guān)鍵標(biāo)準(zhǔn)。

1. API 可見(jiàn)性和監(jiān)控：你無(wú)法保護(hù)看不到的東西

盡管 API 使用量呈爆炸式增長(zhǎng)，但許多安全和開(kāi)發(fā)團(tuán)隊(duì)仍無(wú)法回答有關(guān)其 API 程序的基本問(wèn)題——例如我們有多少、誰(shuí)擁有它們以及它們做什么。在當(dāng)今復(fù)雜的威脅環(huán)境中，這給企業(yè)帶來(lái)了巨大的安全風(fēng)險(xiǎn)。

為了防范安全風(fēng)險(xiǎn)，企業(yè)了解其 API 程序的所有方面及其相關(guān)的安全挑戰(zhàn)至關(guān)重要。這可以更好地幫助領(lǐng)導(dǎo)者通過(guò)適當(dāng)?shù)木徑獠呗愿纳破浣M織的安全狀況。

大多數(shù)企業(yè)都公開(kāi)了許多內(nèi)置的 API，并為客戶(hù)和合作伙伴開(kāi)源。它們由不同的團(tuán)隊(duì)發(fā)布，使用不同的應(yīng)用程序堆棧和不同的程序。因此，很難跟蹤和了解潛在風(fēng)險(xiǎn)在哪里。以下是企業(yè)應(yīng)該考慮的一些關(guān)鍵 API 可見(jiàn)性挑戰(zhàn)：

• 未知 API：影子、已棄用或隱藏的 API 可能會(huì)超出安全團(tuán)隊(duì)的可見(jiàn)范圍，這通常會(huì)導(dǎo)致它們不受保護(hù)。這些 API 可能會(huì)傳輸敏感數(shù)據(jù)并危及組織的合規(guī)地位。
• API 參數(shù)：API 漏洞(例如批量分配)允許攻擊者將用戶(hù)配置文件更改為“管理員”，從而導(dǎo)致權(quán)限提升，這可能導(dǎo)致欺詐、數(shù)據(jù)丟失。
• 敏感數(shù)據(jù)暴露：在響應(yīng)代碼或錯(cuò)誤消息中暴露機(jī)密或敏感數(shù)據(jù)可用于竊取數(shù)據(jù)或作為大規(guī)模攻擊的偵察形式。
• 業(yè)務(wù)邏輯缺陷：應(yīng)用程序業(yè)務(wù)邏輯缺陷可以使不良行為者通過(guò)帳戶(hù)接管、抓取、虛假帳戶(hù)創(chuàng)建和其他形式的 API 濫用進(jìn)行欺詐。

在尋求解決這些常見(jiàn)的 API 安全挑戰(zhàn)時(shí)，提出問(wèn)題以評(píng)估和降低風(fēng)險(xiǎn)程度會(huì)有所幫助。有許多問(wèn)題需要考慮：我們擁有的 API 有什么作用?API 所有者是誰(shuí)?哪些 API 需要遵守法律或法規(guī)?我們?nèi)绾伪O(jiān)控 API 中的漏洞?我們的 API 是否會(huì)暴露敏感數(shù)據(jù)或 PII，這是否會(huì)導(dǎo)致我們不合規(guī)?我們?nèi)绾螠y(cè)試和衡量 API 監(jiān)控的有效性?

2. API 安全性：不同類(lèi)型的應(yīng)用程序安全性

大多數(shù)擁有 Web 應(yīng)用程序的企業(yè)都將擁有 Web 應(yīng)用程序防火墻 (WAF) 以進(jìn)行安全保護(hù)。然而，隨著企業(yè)繼續(xù)擴(kuò)大其 API 驅(qū)動(dòng)的應(yīng)用程序，他們發(fā)現(xiàn)傳統(tǒng)的 WAF 無(wú)法很好地適應(yīng)單體應(yīng)用程序的需求，無(wú)法滿(mǎn)足現(xiàn)代 API 驅(qū)動(dòng)的應(yīng)用程序的需求。

由于 API 驅(qū)動(dòng)的應(yīng)用程序的編寫(xiě)方式非常獨(dú)特，這使其成為一個(gè)單獨(dú)的可利用漏洞類(lèi)別，這些漏洞與其 OWASP 前 10 名 Web 兄弟非常不同。有效保護(hù)單體 Web 應(yīng)用程序漏洞免受 OWASP 的 10 大 Web 漏洞攻擊的安全方法在 API 世界中并不能很好地轉(zhuǎn)化。

使用傳統(tǒng)的 Web 安全方法很難防御 BOLA(損壞的對(duì)象級(jí)授權(quán))和批量分配等關(guān)鍵 API 漏洞。越來(lái)越多的客戶(hù)逐漸意識(shí)到，部署 WAF 來(lái)保護(hù)他們的 API 就像在槍?xiě)?zhàn)中拿刀一樣，是低級(jí)且錯(cuò)誤的武器。

現(xiàn)在出現(xiàn)了一種新的 API 安全產(chǎn)品類(lèi)別，它取代了 Web 應(yīng)用程序防火墻，更符合保護(hù) API 驅(qū)動(dòng)的應(yīng)用程序免受利用的特定要求。這些 API 安全解決方案是圍繞應(yīng)用程序的日常行為方式構(gòu)建的。這些安全解決方案由機(jī)器學(xué)習(xí) (ML) 提供支持，專(zhuān)注于學(xué)習(xí)應(yīng)用程序行為和發(fā)現(xiàn)異常活動(dòng)。

構(gòu)建應(yīng)用程序機(jī)器學(xué)習(xí)模型可以為發(fā)現(xiàn)嵌入在數(shù)百個(gè)微服務(wù)中的內(nèi)在業(yè)務(wù)邏輯缺陷和 API 漏洞奠定基礎(chǔ)。用戶(hù)驅(qū)動(dòng)的流量為機(jī)器學(xué)習(xí)模型的開(kāi)發(fā)提供動(dòng)力，并捕捉應(yīng)用程序的微服務(wù)如何協(xié)同工作以交付應(yīng)用程序業(yè)務(wù)邏輯。

如果企業(yè)正在尋找 API 安全解決方案，應(yīng)該考慮以下三個(gè)標(biāo)準(zhǔn)：

• 發(fā)現(xiàn)：識(shí)別企業(yè)環(huán)境中的所有 API。理想情況下，API 安全工具應(yīng)該知道定義允許的 API 請(qǐng)求的 API 參數(shù)。例如，API 應(yīng)該只允許用戶(hù)響應(yīng) 255 個(gè)字符串字符。通常，未經(jīng)驗(yàn)證的 API 響應(yīng)可用于利用應(yīng)用程序漏洞。
• 學(xué)習(xí)：API 安全工具應(yīng)該能夠從用戶(hù)驅(qū)動(dòng)的流量中學(xué)習(xí) API 行為。這允許 API 安全解決方案的機(jī)器模型了解定義正常應(yīng)用程序行為的所有細(xì)微差別。用戶(hù)行為的輕微和突然偏差會(huì)通過(guò)警報(bào)向安全運(yùn)營(yíng)團(tuán)隊(duì)顯示。
• 適應(yīng)：在敏捷環(huán)境中開(kāi)發(fā)的大多數(shù)現(xiàn)代應(yīng)用程序都在迅速變化。API 安全解決方案應(yīng)該能夠自動(dòng)調(diào)整其安全模型以不斷適應(yīng)所有新變化，以確保應(yīng)用程序安全始終與 DevOps 保持同步。

3. 威脅分析：在網(wǎng)絡(luò)攻擊發(fā)生時(shí)檢測(cè)它們

當(dāng)網(wǎng)絡(luò)犯罪分子從應(yīng)用程序中泄露敏感數(shù)據(jù)時(shí)，他們會(huì)采取必要的預(yù)防措施來(lái)逃避檢測(cè)。為了對(duì)抗它們，需要威脅分析來(lái)檢測(cè)訪問(wèn)您的應(yīng)用程序的用戶(hù)之間的惡意活動(dòng)。

從應(yīng)用程序中獲得的數(shù)據(jù)的質(zhì)量和廣度將決定企業(yè)的安全保護(hù)級(jí)別，并影響其在多長(zhǎng)時(shí)間內(nèi)檢測(cè)到即將發(fā)生的網(wǎng)絡(luò)攻擊。隨著應(yīng)用程序變得更加復(fù)雜和分布式，更多地了解應(yīng)用程序的內(nèi)部工作原理、工作方式、業(yè)務(wù)邏輯以及與其他第三方技術(shù)合作伙伴的交互變得更加重要。

收集應(yīng)用程序內(nèi)所有點(diǎn)的數(shù)據(jù)交互可確保其全面了解所有用戶(hù)與應(yīng)用程序的交互。數(shù)據(jù)集越豐富，就越容易將惡意與合法用戶(hù)交易區(qū)分開(kāi)來(lái)，并使企業(yè)的安全團(tuán)隊(duì)能夠盡快發(fā)現(xiàn)數(shù)據(jù)泄露。

API 安全平臺(tái)應(yīng)使安全團(tuán)隊(duì)能夠執(zhí)行以下操作：

• 威脅搜尋：安全分析師可以通過(guò)數(shù)據(jù)湖搜索正在進(jìn)行的活動(dòng)。
• 跟蹤攻擊者：當(dāng)攻擊者深入挖掘應(yīng)用程序時(shí)，您可以跟蹤殺傷鏈活動(dòng)，例如偵察或掃描活動(dòng)。
• 事后分析：安全分析師可以獲得事后取證，以了解網(wǎng)絡(luò)攻擊如何利用應(yīng)用程序的業(yè)務(wù)邏輯或漏洞。

結(jié)論

快速變化的 API 驅(qū)動(dòng)應(yīng)用程序有助于加快產(chǎn)品上市速度，但也釋放了可被網(wǎng)絡(luò)犯罪分子快速利用的 API 漏洞。可以很好地保護(hù)單體 Web 應(yīng)用程序的應(yīng)用程序安全產(chǎn)品在保護(hù) API 驅(qū)動(dòng)的應(yīng)用程序方面無(wú)法很好地?cái)U(kuò)展。

由于跨更復(fù)雜和分布式應(yīng)用架構(gòu)的快速變化，API 安全的要求與市場(chǎng)上現(xiàn)有的應(yīng)用安全產(chǎn)品有著根本的不同。在評(píng)估 API 安全解決方案時(shí)，一定要關(guān)注解決方案如何提供可見(jiàn)性、它對(duì)應(yīng)用程序的理解程度以及威脅分析的質(zhì)量和深度。

獲得專(zhuān)門(mén)針對(duì) API 應(yīng)用程序的適當(dāng)應(yīng)用程序安全解決方案將幫助企業(yè)更好地防御不斷增加的 API 驅(qū)動(dòng)的網(wǎng)絡(luò)攻擊，這些攻擊旨在利用企業(yè)最有價(jià)值的資產(chǎn)——數(shù)據(jù)。