聚焦API安全|绿盟科技发布下一代WEB安全防护解决方案

2022年05月13日 20:23:23 拜伦建站 87次

  API成为Web应用防护的下一个焦点

  IDC在2022年发布了中国数字化转型十大预测,其中应用现代化与敏捷业务战略里,都涉及到了一个不可忽视的主角——API。在应用开发阶段,API是标准的业务接口;在对接第三方服务时,API则是较为常见的选择;在微服务架构中,微服务间的通信促使API已然成为标配。未来,随着企业选择敏捷业务战略的方式发展,会将更多的精力投入在业务,而非基础能力建设,研发体系、商务模式的改变都将接踵而至。企业将会开发、上线更多API对系统内外部赋能,同时采购更多的第三方细分能力的解决方案。API在未来将无处不在,也将成为应用安全领域除WEB应用外的下一个核心保护对象。

聚焦API安全|绿盟科技发布下一代WEB安全防护解决方案

  API安全主要由三部分组成 —— API发现、访问控制以及威胁防御。由于API发现涉及到设计、编码及整体网络部署,且需要具备主被动识别能力,较小的篇幅无法展开,我们后续详细阐述。本文将就访问控制与威胁防御两点,阐述绿盟科技在下一代WEB应用防护体系建设的思考与方案。

  API脆弱性加剧了网络攻击风险和业务风控难度

  API自身的无状态性、对请求中资源的可识别性、删除/修改服务端资源的可操作性、以及服务端返回的足够详细的信息所带来的资源暴露面的扩大等,这些脆弱性成为API被攻击的天然漏洞,都促使API的攻击数量呈指数级增长。

聚焦API安全|绿盟科技发布下一代WEB安全防护解决方案

  面对如此之多的API攻击,OWASP组织就关注度最高的API风险,总结出了OWASP API Security TOP 10,一方面体现出当前最常见的API问题;另一方面,也对API的开发及安全人员给出有效指导,更加有针对性的实施安全策略。

  API安全是落在Web安全的范围内,但基于API的使用特性,API安全落脚点更为精细与聚焦。例如在API TOP 10中关注较高的,像A1和A5都主要是授权相关(eg,横/纵向越权),A2和A4中表现出的场景大多是与自动化工具的利用相关(eg,账号接管、暴力破解、资源滥用、DDoS),与Web TOP 10相比API TOP 10的关注点有着与API使用特性较为明显的关联与倾斜。站在企业用户视角,TOP 10的API安全风险组合后所带来的业务威胁影响,将会大大影响安全体系的设计理念。

聚焦API安全|绿盟科技发布下一代WEB安全防护解决方案

  Source:API安全管理论坛

  (1)面对业务创新的驱动,保障业务快速发布的同时,如何保障安全同步?

  (2)如何判断未被WAF阻断的正常请求中,哪些是常规业务请求,哪些是恶意调用?

  (3)如何避免拖库事件的发生?用户的账号、手机号、密码、交易记录等敏感信息的泄露,会导致直接的社会负面影响及触犯监管法规的要求。

  (4)如何对业务访问进行识别,避免薅羊毛、批量注册一类恶意事件的发生?

  (5)如何对现有API资产进行梳理?如何对发起调用的客户端进行权限确认,是否存在横、纵向越权带来的主机失陷的严重后果?

  (6)如何进行业务API管理,避免废弃、内部API不会被攻击者发现及利用?

  (7)内部API之间的调用常态化,内部环境被暴露的风险显著提高,如何避免内部遭受攻击,以及一旦发生攻击后,如何进行范围控制,避免做为跳板实施全盘失陷的严重后果?

  解决API问题,首要的是将API安全定位于一个新的防护对象,而非仅仅保护网站中的API

  防护对象的扩展,攻击手段的工具化,恶意行为趋于合法化,攻击侧重点从漏洞利用,到资源滥用、访问控制,以及持续增长的未被纳入管理的API接口,都需要我们对安全架构进行升级,需要在原有WAF能力的基础上,添加API识别能力、防护能力、Bot管理能力,同时提供接口,支持便捷、自动化的API防护对象导入、上传,以达到覆盖更全面的使用场景。

  我们将上述的目标,拆分为两个方向——技术层面(防护能力),业务层面(适配能力)。

  技术层面

  我们面临的威胁主要有Web漏洞利用、资源滥用、资源访问控制,对应的防护能力下,应该具备WAF、API发现、API访问控制、API威胁防护、Bot防护和Bot画像多项能力。

  API做为承载业务的基石,实现其资产梳理、敏感数据分类、合规检测,可以辅助用户有效的实现访问控制;调用资源管控,配合Bot检测有效地规避滥用场景。而威胁检测、权限控制,则可在漏洞利用防护的基础上,进而补充业务逻辑防护,更有效的进行业务风险评估与加固。

上一篇:省粮食和储备局立法领导小组召开会议研究2022年《河南省粮食安全保障条例》
下一篇:金风科技:公司不断加强在风电场服务及风电场开发整体解决方案方面的能力

声明:本页内容由好推网络科技有限公司通过网络收集编辑所得,所有资料仅供用户参考;本站不拥有所有权,也不承认相关法律责任。如您认为本网页中有涉嫌抄写的内容,请及时与我们联系进行举报,并提供相关证据,工作人员会在5个工作日内联系您,一经查实,本站将立刻删除涉嫌侵权内容。

相关资讯 Releva ntnews
  1. 我们的承诺
  2. 我们的实力
  3. 我们的未来

站点地图

Copyright © 2002-2019 拜伦建站 sh-bilon.com 版权所有