?還記得當年勒索軟件是 DevOps 團隊需要擔心的主要安全威脅嗎？

那些日子已經過去了。當然，勒索軟件攻擊仍在發(fā)生，但根據 Gartner 的數據，API 安全漏洞(2021年增加了600%)現在已經準備好成為威脅行為者的頭號攻擊媒介。

這就是壞消息。好消息是，在許多方面，DevOps 團隊已經具備的防范勒索軟件的安全實踐也可以重新用于提供 API 安全性ーー只需進行一些調整。

請繼續(xù)閱讀今天的 API 安全狀態(tài)，以及擴展 DevOps 現有勒索軟件防御技術以保護 API 的提示。

API 的優(yōu)勢

盡管 API 突然成為攻擊者最好的朋友似乎有些令人驚訝，但是當你退一步想想在過去的五年中我們對 API 的依賴程度有多深時，你就會發(fā)現事實并非如此。

API 已經存在很長時間了。但是直到最近，API 主要用于特定類型的應用程序、 B2B 或基礎設施集成。直到轉向微服務和分布式架構，內部(或東西方) API 才成為將應用程序環(huán)境粘合在一起的粘合劑，并在應用程序的組件和微組件之間傳遞信息(有時是敏感的)。

至于外部 API，發(fā)布公共 API 已成為幾乎所有軟件產品企業(yè)的基本期望ーー目前已有大約2.2萬個公共 API，以及幾個數量級更多的內部 API。

其結果是 API 創(chuàng)建了針對幾乎所有應用程序或服務的潛在攻擊向量。因此，壞人們越來越多地將注意力集中在利用 API 作為獲取訪問您不希望他們擁有的東西的手段，這才是有意義的。

從勒索軟件保護到 API 保護

您可能認為保護 API 需要全新的安全工具和實踐。但實際上，在減輕勒索軟件風險和減輕 API 安全風險之間存在著廣泛的相似之處。DevOps 團隊是對抗這些的主要防線。

下面介紹如何將反勒索軟件策略擴展為反 API 利用策略。

防止橫向移動

與通過利用缺陷和漏洞從端點到端點橫向傳播的勒索軟件一樣，API 利用也通常橫向傳播到整個環(huán)境。

T

這意味著，即使你不能阻止所有的 API (或勒索軟件)攻擊突破你的邊界，你可以采取措施，使它難以擴大破壞。通過及早發(fā)現環(huán)境中的惡意活動，可以在威脅導致大規(guī)模危害之前阻止其橫向傳播。

關注數據安全

勒索軟件攻擊和 API 攻擊都致力于破壞同一個王冠上的寶石: 你的數據。勒索軟件攻擊者想用這些數據換取贖金。API 攻擊者——比如那些從受到攻擊的 Peloton 賬戶中竊取敏感信息的人，或者那些通過侵入 LinkedIn 的 API 來獲取大約7億用戶數據的人——通常都會想要將其提取出來，可能是為了轉售，也可能只是為了損害你的企業(yè)聲譽。

因此，降低勒索軟件風險和 API 安全風險歸根結底就是保護您的數據。通過對內部和公共 API 實施強有力的訪問控制和細分，可以減少由于 API 數字證書認證機構而導致的數據外泄風險。

使用行為安全模型

將所有基于簽名的安全控制都投入到攻擊預防中，對于勒索軟件或 API 攻擊都不會有很好的效果，尤其是當它們是零日攻擊或未知攻擊時。雖然您當然應該盡可能地強化環(huán)境，但是不可能保證漏洞不會越過您的防御。

這就是為什么部署基于行為的安全模型是防范勒索軟件和 API 攻擊的關鍵。行為安全模型檢測環(huán)境中的異常活動，比如異常類型的請求或奇怪的請求模式。通過對行為進行建模和基線化，并根據您的模型檢測異常，您可以防止攻擊在進行過程中擴散。

不要依賴周邊防御

類似地，試圖保護環(huán)境的周邊并不一定能抵御勒索軟件或 API 攻擊。相反，您需要在所有端點、應用程序、服務等之間分布保護。

同樣，沒有什么能保證攻擊者不會進來。你們防御的成功很大程度上取決于你們是否有能力讓他們難以將攻擊從小規(guī)模的缺口升級為影響大范圍資源的攻擊。

看看表面之外

勒索軟件和 API 攻擊是相似的，因為它們通常都涉及為躲避常見的安全監(jiān)控工具而設計的攻擊方法。

例如，攻擊者可能試圖利用端口80或443(默認的 HTTP/HTTPS 端口) ，這些端口幾乎總是在防火墻上打開。因此，必須避免僅僅依賴標準端口或加密來保護 API 通信。相反，您必須深入研究有效載荷，然后解析和理解協(xié)議。監(jiān)視和收集來自多個來源的數據，然后將它們關聯(lián)起來并進行分析，以便更深入地了解環(huán)境中實際發(fā)生的情況，這一點也很重要。

結論

可以肯定的是，勒索軟件攻擊和 API 安全性攻擊在某些方面是完全不同的。它們涉及到對不同協(xié)議的利用，攻擊者的目標通常也有所不同。

但就攻擊者如何操作、他們想竊取什么(您的數據)以及基于周界的防御、勒索軟件攻擊和 API 攻擊的局限性而言，它們實際上非常相似。

這就是為什么開發(fā)人員和 DevOps 團隊不需要重新考慮他們的整個安全策略來應對 API 攻擊的激增。相反，做你已經在做的來防止勒索軟件，并且使用這些技術來幫助保護你的 API。