面向API應用的網(wǎng)絡攻擊已經(jīng)開始對各大企業(yè)組織造成嚴重的破壞。因此，每家組織都需要提升對API應用安全的重視度。日前，網(wǎng)絡安全研究員Sam Curry和他領導的研究團隊，在數(shù)十家全球頂級汽車制造商生產(chǎn)的車輛和車聯(lián)網(wǎng)服務中，發(fā)現(xiàn)了許多API應用缺陷，利用這些缺陷，攻擊者可以進行廣泛的惡意活動，從非法竊取車主個人隱私信息，到遠程解鎖車輛、監(jiān)控車輛等。

Sam Curry表示，通過深入的研究分析和實際測試，他的團隊發(fā)現(xiàn)API應用安全問題幾乎影響了目前所有主流的汽車品牌，包括奔馳、寶馬、勞斯萊斯、法拉利、保時捷、捷豹、路虎、本田、英菲尼迪、日產(chǎn)、謳歌、豐田、福特等20多個知名品牌。此外，研究團隊還發(fā)現(xiàn)，在Reviver、SiriusXM和Spireon等主流車聯(lián)網(wǎng)服務商的應用方案中，同樣存在大量嚴重的API安全缺陷。

據(jù)了解，通過利用所發(fā)現(xiàn)的API安全缺陷，研究人員成功進入了配置不當?shù)腟SO系統(tǒng)，成功訪問了奔馳、寶馬等車企的多個內(nèi)部業(yè)務系統(tǒng)，以及其中大量的員工和客戶信息數(shù)據(jù)。例如對奔馳公司的測試中，研究人員成功訪問了多個私有GitHub實例、Mattermost上的內(nèi)部聊天頻道、服務器、Jenkins和AWS實例，并連接到客戶車輛的XENTRY系統(tǒng)等；而在對寶馬公司的測試中，研究人員通過訪問內(nèi)部經(jīng)銷商網(wǎng)站，超權限查詢了客戶汽車的VIN，并檢索出了包含敏感車主詳細信息的銷售文檔。一旦這些安全問題被真實的攻擊者發(fā)現(xiàn)，后果將不堪設想。

API已成為關鍵性安全問題

其實，API應用安全問題不僅僅是在汽車制造領域存在。一項最新的研究數(shù)據(jù)表明，在過去的一年中，大約95%的受訪企業(yè)遭遇過API應用安全事件。此外，由于API安全威脅，50%以上的受訪企業(yè)不得不推遲業(yè)務應用程序的發(fā)布和更新。

為什么API安全已成為一個快速發(fā)展且急需有效解決的安全問題呢？主要原因如下：

• 不斷變化的環(huán)境：隨著組織在其信息化基礎架構中添加更多的應用程序和軟件，它們在不知不覺中集成了大量不同的API應用。所有這些API都是不同的，是由不同的開發(fā)者設計提供。因此，一般性的安全方法無法充分保護如此多樣化的API應用；
• 獨特的網(wǎng)絡攻擊：由于每個API都很獨特，因此它也往往會存在獨特的安全缺陷，攻擊者會發(fā)現(xiàn)利用這些缺陷將有利可圖。不同于傳統(tǒng)的跨站腳本和SQL注入攻擊，API應用缺陷更多是因為業(yè)務邏輯方面的不足導致，利用這些漏洞會影響組織數(shù)據(jù)的完整性；
• 漏洞檢測延遲：傳統(tǒng)的應用系統(tǒng)測試工具常在開發(fā)的后期階段使用。然而面對API應用時，這種延遲掃描的效果往往不是很理想。此外，在開發(fā)的最后階段使用傳統(tǒng)的安全工具可能會生成更多的誤報。

API安全防護的挑戰(zhàn)

API的安全挑戰(zhàn)正在不斷出現(xiàn)，但是企業(yè)在大量應用安全防護工具應對API安全威脅時卻表現(xiàn)得差強人意，原因是什么呢？

1、API不同于Web應用程序

對于API安全防護而言，大多數(shù)目前的應用程序安全工具無效的主要原因是IT團隊采用安全方法太傳統(tǒng)。企業(yè)先要意識到雖然API是Web應用程序基礎設施的一部分，但它不僅僅是Web應用程序。兩者不一樣，它們有不同的安全漏洞，因此需要專門的保護策略。

比如說，失效的對象級授權（BOLA）是較為普遍的API安全問題之一。當API將處理對象標識符的端點暴露在已驗證但未授權的用戶面前時，就存在這個問題。由于大量復雜的微服務參與其中，BOLA問題是傳統(tǒng)Web應用程序安全工具無法充分解決的。但是事實上，很多企業(yè)繼續(xù)通過DAST工具來處理這類安全問題。由此帶來的虛假安全感，正是API安全問題不斷嚴重的原因之一。

2、應用程序安全不是為了保護API

大多數(shù)應用程序安全工具不能有效保護API應用的主要原因在于其固有的技術局限性。

比如說，靜態(tài)應用程序安全測試（SAST）不適用于API，是因為SAST主要依靠源代碼檢查和數(shù)據(jù)流建模來確定漏洞是如何發(fā)生的。由于使用復雜的第三方框架和庫，SAST掃描器無法將相同的方法運用于API。因此，在API上運行SAST工具時，將會生成太多的漏報，從而使實際的安全漏洞無法被有效檢測出來。

3、API安全測試延遲

使用應用程序安全工具來檢查應用程序的安全性常出現(xiàn)在軟件開發(fā)生命周期（SDLC）的后期，因為這些工具需要切實可行的應用程序來執(zhí)行測試。然而，這種方法不應該運用于API安全。由于基于微服務為中心的架構，開發(fā)人員需要在開發(fā)過程中測試各個API的漏洞。這種快速掃描讓組織可以將安全得多的API部署到基礎設施中，盡量降低未來的風險。

API安全方案的改進

隨著信息技術的快速發(fā)展，API安全防護也在持續(xù)演進過程中，多向量、自動化工具、武器化人工智能類的攻擊將成為API攻擊的主流，相應的，安全防護措施也需加強系統(tǒng)化、自動化、深度學習、智能化能力，向以體系對抗體系，以智能防護智能的方向演進。

傳統(tǒng)的應用程序安全工具不會毫無用處，企業(yè)仍然需要部署Web應用防火墻（WAF）、SAST和DAST等工具。但是為了實現(xiàn)更好的API防護效果，企業(yè)組織應該提前規(guī)劃，積極采用更先進的方法，結合人工智能、機器學習和行為分析等現(xiàn)代技術來檢測API應用中的缺陷。企業(yè)也可以考慮采用托管式的API保護服務，在此模式下，安全人員將不依賴過去的內(nèi)容輸入驗證，即可快速檢測新的安全漏洞，并API應用的特點提供針對性的保護。

此外，開發(fā)人員必須通過安全“左移”方法，確保其API在開發(fā)的早期階段，可以通過有效的方法檢測漏洞和修復漏洞。這有助于保證API實際應用后的可靠性和安全性。