面向API應(yīng)用的網(wǎng)絡(luò)攻擊已經(jīng)開始對各大企業(yè)組織造成嚴(yán)重的破壞。因此，每家組織都需要提升對API應(yīng)用安全的重視度。日前，網(wǎng)絡(luò)安全研究員Sam Curry和他領(lǐng)導(dǎo)的研究團(tuán)隊，在數(shù)十家全球頂級汽車制造商生產(chǎn)的車輛和車聯(lián)網(wǎng)服務(wù)中，發(fā)現(xiàn)了許多API應(yīng)用缺陷，利用這些缺陷，攻擊者可以進(jìn)行廣泛的惡意活動，從非法竊取車主個人隱私信息，到遠(yuǎn)程解鎖車輛、監(jiān)控車輛等。

Sam Curry表示，通過深入的研究分析和實際測試，他的團(tuán)隊發(fā)現(xiàn)API應(yīng)用安全問題幾乎影響了目前所有主流的汽車品牌，包括奔馳、寶馬、勞斯萊斯、法拉利、保時捷、捷豹、路虎、本田、英菲尼迪、日產(chǎn)、謳歌、豐田、福特等20多個知名品牌。此外，研究團(tuán)隊還發(fā)現(xiàn)，在Reviver、SiriusXM和Spireon等主流車聯(lián)網(wǎng)服務(wù)商的應(yīng)用方案中，同樣存在大量嚴(yán)重的API安全缺陷。

據(jù)了解，通過利用所發(fā)現(xiàn)的API安全缺陷，研究人員成功進(jìn)入了配置不當(dāng)?shù)腟SO系統(tǒng)，成功訪問了奔馳、寶馬等車企的多個內(nèi)部業(yè)務(wù)系統(tǒng)，以及其中大量的員工和客戶信息數(shù)據(jù)。例如對奔馳公司的測試中，研究人員成功訪問了多個私有GitHub實例、Mattermost上的內(nèi)部聊天頻道、服務(wù)器、Jenkins和AWS實例，并連接到客戶車輛的XENTRY系統(tǒng)等；而在對寶馬公司的測試中，研究人員通過訪問內(nèi)部經(jīng)銷商網(wǎng)站，超權(quán)限查詢了客戶汽車的VIN，并檢索出了包含敏感車主詳細(xì)信息的銷售文檔。一旦這些安全問題被真實的攻擊者發(fā)現(xiàn)，后果將不堪設(shè)想。

API已成為關(guān)鍵性安全問題

其實，API應(yīng)用安全問題不僅僅是在汽車制造領(lǐng)域存在。一項最新的研究數(shù)據(jù)表明，在過去的一年中，大約95%的受訪企業(yè)遭遇過API應(yīng)用安全事件。此外，由于API安全威脅，50%以上的受訪企業(yè)不得不推遲業(yè)務(wù)應(yīng)用程序的發(fā)布和更新。

為什么API安全已成為一個快速發(fā)展且急需有效解決的安全問題呢？主要原因如下：

• 不斷變化的環(huán)境：隨著組織在其信息化基礎(chǔ)架構(gòu)中添加更多的應(yīng)用程序和軟件，它們在不知不覺中集成了大量不同的API應(yīng)用。所有這些API都是不同的，是由不同的開發(fā)者設(shè)計提供。因此，一般性的安全方法無法充分保護(hù)如此多樣化的API應(yīng)用；
• 獨特的網(wǎng)絡(luò)攻擊：由于每個API都很獨特，因此它也往往會存在獨特的安全缺陷，攻擊者會發(fā)現(xiàn)利用這些缺陷將有利可圖。不同于傳統(tǒng)的跨站腳本和SQL注入攻擊，API應(yīng)用缺陷更多是因為業(yè)務(wù)邏輯方面的不足導(dǎo)致，利用這些漏洞會影響組織數(shù)據(jù)的完整性；
• 漏洞檢測延遲：傳統(tǒng)的應(yīng)用系統(tǒng)測試工具常在開發(fā)的后期階段使用。然而面對API應(yīng)用時，這種延遲掃描的效果往往不是很理想。此外，在開發(fā)的最后階段使用傳統(tǒng)的安全工具可能會生成更多的誤報。

API安全防護(hù)的挑戰(zhàn)

API的安全挑戰(zhàn)正在不斷出現(xiàn)，但是企業(yè)在大量應(yīng)用安全防護(hù)工具應(yīng)對API安全威脅時卻表現(xiàn)得差強(qiáng)人意，原因是什么呢？

1、API不同于Web應(yīng)用程序

對于API安全防護(hù)而言，大多數(shù)目前的應(yīng)用程序安全工具無效的主要原因是IT團(tuán)隊采用安全方法太傳統(tǒng)。企業(yè)先要意識到雖然API是Web應(yīng)用程序基礎(chǔ)設(shè)施的一部分，但它不僅僅是Web應(yīng)用程序。兩者不一樣，它們有不同的安全漏洞，因此需要專門的保護(hù)策略。

比如說，失效的對象級授權(quán)（BOLA）是較為普遍的API安全問題之一。當(dāng)API將處理對象標(biāo)識符的端點暴露在已驗證但未授權(quán)的用戶面前時，就存在這個問題。由于大量復(fù)雜的微服務(wù)參與其中，BOLA問題是傳統(tǒng)Web應(yīng)用程序安全工具無法充分解決的。但是事實上，很多企業(yè)繼續(xù)通過DAST工具來處理這類安全問題。由此帶來的虛假安全感，正是API安全問題不斷嚴(yán)重的原因之一。

2、應(yīng)用程序安全不是為了保護(hù)API

大多數(shù)應(yīng)用程序安全工具不能有效保護(hù)API應(yīng)用的主要原因在于其固有的技術(shù)局限性。

比如說，靜態(tài)應(yīng)用程序安全測試（SAST）不適用于API，是因為SAST主要依靠源代碼檢查和數(shù)據(jù)流建模來確定漏洞是如何發(fā)生的。由于使用復(fù)雜的第三方框架和庫，SAST掃描器無法將相同的方法運用于API。因此，在API上運行SAST工具時，將會生成太多的漏報，從而使實際的安全漏洞無法被有效檢測出來。

3、API安全測試延遲

使用應(yīng)用程序安全工具來檢查應(yīng)用程序的安全性常出現(xiàn)在軟件開發(fā)生命周期（SDLC）的后期，因為這些工具需要切實可行的應(yīng)用程序來執(zhí)行測試。然而，這種方法不應(yīng)該運用于API安全。由于基于微服務(wù)為中心的架構(gòu)，開發(fā)人員需要在開發(fā)過程中測試各個API的漏洞。這種快速掃描讓組織可以將安全得多的API部署到基礎(chǔ)設(shè)施中，盡量降低未來的風(fēng)險。

API安全方案的改進(jìn)

隨著信息技術(shù)的快速發(fā)展，API安全防護(hù)也在持續(xù)演進(jìn)過程中，多向量、自動化工具、武器化人工智能類的攻擊將成為API攻擊的主流，相應(yīng)的，安全防護(hù)措施也需加強(qiáng)系統(tǒng)化、自動化、深度學(xué)習(xí)、智能化能力，向以體系對抗體系，以智能防護(hù)智能的方向演進(jìn)。

傳統(tǒng)的應(yīng)用程序安全工具不會毫無用處，企業(yè)仍然需要部署Web應(yīng)用防火墻（WAF）、SAST和DAST等工具。但是為了實現(xiàn)更好的API防護(hù)效果，企業(yè)組織應(yīng)該提前規(guī)劃，積極采用更先進(jìn)的方法，結(jié)合人工智能、機(jī)器學(xué)習(xí)和行為分析等現(xiàn)代技術(shù)來檢測API應(yīng)用中的缺陷。企業(yè)也可以考慮采用托管式的API保護(hù)服務(wù)，在此模式下，安全人員將不依賴過去的內(nèi)容輸入驗證，即可快速檢測新的安全漏洞，并API應(yīng)用的特點提供針對性的保護(hù)。

此外，開發(fā)人員必須通過安全“左移”方法，確保其API在開發(fā)的早期階段，可以通過有效的方法檢測漏洞和修復(fù)漏洞。這有助于保證API實際應(yīng)用后的可靠性和安全性。