聚焦API安全|綠盟科技發(fā)布下一代WEB安全防護(hù)解決方案

  • 人閱讀
  • 2022-05-09 15:52:46

  • 來(lái)源:西盟科技資訊

  • 相關(guān)關(guān)鍵詞

  API成為Web應(yīng)用防護(hù)的下一個(gè)焦點(diǎn)

  IDC在2022年發(fā)布了中國(guó)數(shù)字化轉(zhuǎn)型十大預(yù)測(cè),其中應(yīng)用現(xiàn)代化與敏捷業(yè)務(wù)戰(zhàn)略里,都涉及到了一個(gè)不可忽視的主角——API。在應(yīng)用開(kāi)發(fā)階段,API是標(biāo)準(zhǔn)的業(yè)務(wù)接口;在對(duì)接第三方服務(wù)時(shí),API則是較為常見(jiàn)的選擇;在微服務(wù)架構(gòu)中,微服務(wù)間的通信促使API已然成為標(biāo)配。未來(lái),隨著企業(yè)選擇敏捷業(yè)務(wù)戰(zhàn)略的方式發(fā)展,會(huì)將更多的精力投入在業(yè)務(wù),而非基礎(chǔ)能力建設(shè),研發(fā)體系、商務(wù)模式的改變都將接踵而至。企業(yè)將會(huì)開(kāi)發(fā)、上線(xiàn)更多API對(duì)系統(tǒng)內(nèi)外部賦能,同時(shí)采購(gòu)更多的第三方細(xì)分能力的解決方案。API在未來(lái)將無(wú)處不在,也將成為應(yīng)用安全領(lǐng)域除WEB應(yīng)用外的下一個(gè)核心保護(hù)對(duì)象。

1652066793398431.jpg

  API安全主要由三部分組成 ——API發(fā)現(xiàn)、訪問(wèn)控制以及威脅防御。由于API發(fā)現(xiàn)涉及到設(shè)計(jì)、編碼及整體網(wǎng)絡(luò)部署,且需要具備主被動(dòng)識(shí)別能力,較小的篇幅無(wú)法展開(kāi),我們后續(xù)詳細(xì)闡述。本文將就訪問(wèn)控制與威脅防御兩點(diǎn),闡述綠盟科技在下一代WEB應(yīng)用防護(hù)體系建設(shè)的思考與方案。

  API脆弱性加劇了網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)和業(yè)務(wù)風(fēng)控難度

  API自身的無(wú)狀態(tài)性、對(duì)請(qǐng)求中資源的可識(shí)別性、刪除/修改服務(wù)端資源的可操作性、以及服務(wù)端返回的足夠詳細(xì)的信息所帶來(lái)的資源暴露面的擴(kuò)大等,這些脆弱性成為API被攻擊的天然漏洞,都促使API的攻擊數(shù)量呈指數(shù)級(jí)增長(zhǎng)。

1652066814136703.jpg

  面對(duì)如此之多的API攻擊,OWASP組織就關(guān)注度最高的API風(fēng)險(xiǎn),總結(jié)出了OWASP API Security TOP 10,一方面體現(xiàn)出當(dāng)前最常見(jiàn)的API問(wèn)題;另一方面,也對(duì)API的開(kāi)發(fā)及安全人員給出有效指導(dǎo),更加有針對(duì)性的實(shí)施安全策略。

  API安全是落在Web安全的范圍內(nèi),但基于API的使用特性,API安全落腳點(diǎn)更為精細(xì)與聚焦。例如在API TOP 10中關(guān)注較高的,像A1和A5都主要是授權(quán)相關(guān)(eg,橫/縱向越權(quán)),A2和A4中表現(xiàn)出的場(chǎng)景大多是與自動(dòng)化工具的利用相關(guān)(eg,賬號(hào)接管、暴力破解、資源濫用、DDoS),與Web TOP 10相比API TOP 10的關(guān)注點(diǎn)有著與API使用特性較為明顯的關(guān)聯(lián)與傾斜。站在企業(yè)用戶(hù)視角,TOP 10的API安全風(fēng)險(xiǎn)組合后所帶來(lái)的業(yè)務(wù)威脅影響,將會(huì)大大影響安全體系的設(shè)計(jì)理念。

1652066837569310.jpg

  Source:API安全管理論壇

  (1)面對(duì)業(yè)務(wù)創(chuàng)新的驅(qū)動(dòng),保障業(yè)務(wù)快速發(fā)布的同時(shí),如何保障安全同步?

  (2)如何判斷未被WAF阻斷的正常請(qǐng)求中,哪些是常規(guī)業(yè)務(wù)請(qǐng)求,哪些是惡意調(diào)用?

  (3)如何避免拖庫(kù)事件的發(fā)生?用戶(hù)的賬號(hào)、手機(jī)號(hào)、密碼、交易記錄等敏感信息的泄露,會(huì)導(dǎo)致直接的社會(huì)負(fù)面影響及觸犯監(jiān)管法規(guī)的要求。

  (4)如何對(duì)業(yè)務(wù)訪問(wèn)進(jìn)行識(shí)別,避免薅羊毛、批量注冊(cè)一類(lèi)惡意事件的發(fā)生?

  (5)如何對(duì)現(xiàn)有API資產(chǎn)進(jìn)行梳理?如何對(duì)發(fā)起調(diào)用的客戶(hù)端進(jìn)行權(quán)限確認(rèn),是否存在橫、縱向越權(quán)帶來(lái)的主機(jī)失陷的嚴(yán)重后果?

  (6)如何進(jìn)行業(yè)務(wù)API管理,避免廢棄、內(nèi)部API不會(huì)被攻擊者發(fā)現(xiàn)及利用?

  (7)內(nèi)部API之間的調(diào)用常態(tài)化,內(nèi)部環(huán)境被暴露的風(fēng)險(xiǎn)顯著提高,如何避免內(nèi)部遭受攻擊,以及一旦發(fā)生攻擊后,如何進(jìn)行范圍控制,避免做為跳板實(shí)施全盤(pán)失陷的嚴(yán)重后果?

  解決API問(wèn)題,首要的是將API安全定位于一個(gè)新的防護(hù)對(duì)象,而非僅僅保護(hù)網(wǎng)站中的API

  防護(hù)對(duì)象的擴(kuò)展,攻擊手段的工具化,惡意行為趨于合法化,攻擊側(cè)重點(diǎn)從漏洞利用,到資源濫用、訪問(wèn)控制,以及持續(xù)增長(zhǎng)的未被納入管理的API接口,都需要我們對(duì)安全架構(gòu)進(jìn)行升級(jí),需要在原有WAF能力的基礎(chǔ)上,添加API識(shí)別能力、防護(hù)能力、Bot管理能力,同時(shí)提供接口,支持便捷、自動(dòng)化的API防護(hù)對(duì)象導(dǎo)入、上傳,以達(dá)到覆蓋更全面的使用場(chǎng)景。

  我們將上述的目標(biāo),拆分為兩個(gè)方向——技術(shù)層面(防護(hù)能力),業(yè)務(wù)層面(適配能力)。

  技術(shù)層面

  我們面臨的威脅主要有Web漏洞利用、資源濫用、資源訪問(wèn)控制,對(duì)應(yīng)的防護(hù)能力下,應(yīng)該具備WAF、API發(fā)現(xiàn)、API訪問(wèn)控制、API威脅防護(hù)、Bot防護(hù)和Bot畫(huà)像多項(xiàng)能力。

  API做為承載業(yè)務(wù)的基石,實(shí)現(xiàn)其資產(chǎn)梳理、敏感數(shù)據(jù)分類(lèi)、合規(guī)檢測(cè),可以輔助用戶(hù)有效的實(shí)現(xiàn)訪問(wèn)控制;調(diào)用資源管控,配合Bot檢測(cè)有效地規(guī)避濫用場(chǎng)景。而威脅檢測(cè)、權(quán)限控制,則可在漏洞利用防護(hù)的基礎(chǔ)上,進(jìn)而補(bǔ)充業(yè)務(wù)邏輯防護(hù),更有效的進(jìn)行業(yè)務(wù)風(fēng)險(xiǎn)評(píng)估與加固。

  識(shí)別Bot,識(shí)別惡意Bot,進(jìn)而識(shí)別善于偽裝的高級(jí)Bot,是所需要考慮的第一層面?;贐ot行為,分析Bot意圖,評(píng)估業(yè)務(wù)面臨的風(fēng)險(xiǎn)并進(jìn)行預(yù)警,對(duì)Bot進(jìn)行溯源追蹤、聚類(lèi)分析,一方面可以更加有效的幫助企業(yè)客戶(hù)及時(shí)發(fā)現(xiàn)問(wèn)題,針對(duì)性的進(jìn)行安全策略的調(diào)整與業(yè)務(wù)加固;另一方面,生產(chǎn)并共享Bot情報(bào),為后續(xù)Bot的變身出現(xiàn),做到先于攻擊行動(dòng)前進(jìn)行發(fā)現(xiàn)。

  業(yè)務(wù)環(huán)境適配層面

  1、按基礎(chǔ)環(huán)境:面對(duì)客戶(hù)場(chǎng)景不同的業(yè)務(wù)組件,需靈活接入;

  2、按上云節(jié)奏:客戶(hù)本地、云端、多云部署業(yè)務(wù),需統(tǒng)一管控;

  3、按業(yè)務(wù)發(fā)展:先進(jìn)技術(shù)云原生、微服務(wù),需輕量適配;

  4、按暴露面:確保所有對(duì)外的API流量,持續(xù)注冊(cè)在威脅防護(hù)設(shè)備上;

  防護(hù)對(duì)象、防護(hù)場(chǎng)景、防護(hù)能力的變化,綠盟科技推出下一代WEB安全防護(hù)解決方案

  在2021年,Gartner正式將Web Application API Protection(WAAP)定義為Web Application Firewall(WAF)市場(chǎng)的下一階段,將WAF能力擴(kuò)展為4個(gè)核心功能特性:WAF、DDoS防護(hù)、Bot管理和API防護(hù)。[4]

  我們從企業(yè)客戶(hù)在API風(fēng)險(xiǎn)中遭遇最多的“漏洞利用”問(wèn)題出發(fā),選擇與之對(duì)應(yīng)的防護(hù)能力WAF為出發(fā)點(diǎn),提供包含DDoS防護(hù)、Bot流量管理、WAF、API防護(hù)于一體的下一代WEB安全防護(hù)解決方案,保障用戶(hù)的Web應(yīng)用防護(hù)及API安全防護(hù)。后文我們引用Gartner對(duì)于該解決方案的簡(jiǎn)稱(chēng)WAAP進(jìn)行方案介紹。

1652066923128501.jpg

  橫向擴(kuò)展覆蓋更全用戶(hù)場(chǎng)景,對(duì)外解決身披“合法身份”進(jìn)行賬號(hào)接管、黃牛黨、薅羊毛這些引發(fā)敏感數(shù)據(jù)泄露、業(yè)務(wù)負(fù)載大,造成客戶(hù)經(jīng)濟(jì)、聲譽(yù)雙重受損的問(wèn)題;對(duì)內(nèi)幫助客戶(hù)梳理API資產(chǎn),分類(lèi)安置,基于不同的API類(lèi)型,按行為、按權(quán)限、按上下文邏輯,在合規(guī)檢測(cè)的基礎(chǔ)上、解決API越權(quán)、濫用等多方面問(wèn)題。

  縱向延伸深挖產(chǎn)品領(lǐng)域技術(shù),識(shí)別新問(wèn)題,跟進(jìn)新熱點(diǎn),保持前瞻性。方案的設(shè)計(jì)有以下四個(gè)維度:

  維度一:?jiǎn)吸c(diǎn)聚焦核心能力

  1、Bot防護(hù):精準(zhǔn)實(shí)現(xiàn)Bot流量識(shí)別與降噪,降低網(wǎng)站漏洞暴露以及業(yè)務(wù)側(cè)攻擊的風(fēng)險(xiǎn);對(duì)攻擊者意圖進(jìn)行深度分析、攻擊者路徑追蹤溯源、業(yè)務(wù)風(fēng)險(xiǎn)告警與標(biāo)識(shí)等,從而在提供安全保障的同時(shí)極大地減輕了客戶(hù)運(yùn)維成本。

  國(guó)際權(quán)威機(jī)構(gòu)Forrester,從技術(shù)水準(zhǔn)、市場(chǎng)份額等多方面,面向全球格局對(duì)Bot管理技術(shù)進(jìn)行安全廠商調(diào)研,綠盟科技做為中國(guó)安全企業(yè)代表,被列入《Now Tech:Bot Management,Q4 2021》報(bào)告。[5]

  2、API防護(hù):通過(guò)主動(dòng)被動(dòng)相結(jié)合的方式,輔助客戶(hù)進(jìn)行完善的API資產(chǎn)梳理;結(jié)合自動(dòng)生成的API基線(xiàn)及導(dǎo)入的OAS文件,進(jìn)行API合規(guī)檢測(cè);支持解析多協(xié)議流量,進(jìn)行攻擊流量過(guò)濾,同時(shí)關(guān)聯(lián)惡意Bot行為分析,進(jìn)而達(dá)到保障合法用戶(hù)正常訪問(wèn)、拒絕非法用戶(hù)訪問(wèn)、扼止越權(quán)訪問(wèn)、阻斷惡意漏洞攻擊、規(guī)避敏感數(shù)據(jù)泄露等風(fēng)險(xiǎn)。

  綠盟科技做為中國(guó)安全企業(yè)代表,被Forrester列入最新的《Now Tech:WebApplication Firewalls,Q2 2022》報(bào)告。[6]

  維度二:多種產(chǎn)品形態(tài),適配客戶(hù)不同階段環(huán)境

  1、硬件、虛擬化都支持:多款集群方案,無(wú)論是對(duì)接F5反代不改源IP,還是插件式部署,對(duì)接Nginx不改網(wǎng)絡(luò)拓?fù)洌只蚴墙y(tǒng)一流量編排,面向客戶(hù)不同部署環(huán)境,保障業(yè)務(wù)高穩(wěn)定、高可用。

  2、虛擬WAF:配合業(yè)務(wù)上云節(jié)奏,對(duì)接14種品類(lèi)云平臺(tái),保障客戶(hù)業(yè)務(wù)無(wú)憂(yōu)上云。

  3、云原生WAF:伴隨應(yīng)用的云原生化,將安全能力適配云原生架構(gòu),融入微服務(wù)場(chǎng)景。提供適配K8S、Ingress controller部署的容器化WAF,并進(jìn)階提供適配envoy服務(wù)網(wǎng)格架構(gòu)的云原生WAF,輕量級(jí)、無(wú)感知的與微服務(wù)應(yīng)用伴生,解決東西向防護(hù)需求,覆蓋數(shù)千容器運(yùn)維管理場(chǎng)景。

  4、硬件、虛擬化都支持:產(chǎn)品能力組件化。為進(jìn)行全面防護(hù),原有產(chǎn)品以糖葫蘆式堆疊部署,流量挨個(gè)串行解析,每個(gè)節(jié)點(diǎn)均為單點(diǎn)故障點(diǎn),整體時(shí)延加長(zhǎng),數(shù)通層面重復(fù)加載,各自為營(yíng)。通過(guò)實(shí)現(xiàn)安全引擎組件化,解耦隔離數(shù)通層與安全防護(hù)層,流量一次解析,按需動(dòng)態(tài)加載防護(hù)能力。保障業(yè)務(wù)高穩(wěn)定的前提下,提供輕量級(jí)、靈活化的防護(hù)能力。

  維度三:步步為營(yíng),協(xié)同合作

  1、按需組合:抗D防護(hù),識(shí)別DDoS攻擊,進(jìn)行大額流量清洗。Web安全防護(hù),面向URL、API,阻斷漏洞利用攻擊,進(jìn)行“黑”流量清洗。Bot管理,識(shí)別自動(dòng)化工具,客戶(hù)端環(huán)境驗(yàn)證,進(jìn)行“灰”流量清洗。API安全防護(hù),識(shí)別越權(quán)、生成業(yè)務(wù)圖譜,進(jìn)行“白”流量辨別。

  結(jié)合客戶(hù)防護(hù)優(yōu)先級(jí),支持靈活組合產(chǎn)品能力,基于實(shí)際業(yè)務(wù)場(chǎng)景提供專(zhuān)屬特色方案,保障Web應(yīng)用、移動(dòng)應(yīng)用、API免受各種不同的攻擊。

  2、前后呼應(yīng):經(jīng)過(guò)API網(wǎng)關(guān)認(rèn)證后的合法身份,若被檢測(cè)有攻擊行為,支持與API網(wǎng)關(guān)聯(lián)動(dòng),進(jìn)行身份封禁。

  3、安全左移:支持對(duì)接包含代碼掃描、應(yīng)用掃描后的漏洞掃描結(jié)果,針對(duì)漏洞信息,提供不同層面的智能補(bǔ)丁,保障業(yè)務(wù)快速發(fā)布的同時(shí),代碼加固同步配合。

  維度四:可提供WAAP端側(cè)能力,也支持WAAP平臺(tái)側(cè)服務(wù)

  一體化管理的端側(cè)能力:輕量化的docker部署,摒棄底層依賴(lài);基于業(yè)務(wù)流量變化,動(dòng)態(tài)加載安全組件數(shù)量;端側(cè)流量統(tǒng)一編排,擬人化的安全配置界面(同一產(chǎn)品,不分?jǐn)?shù)量,一處配置入口)。

  多維展示的平臺(tái)側(cè)服務(wù):面向運(yùn)維,統(tǒng)一管控多個(gè)端側(cè);面向用戶(hù),用戶(hù)資產(chǎn)風(fēng)險(xiǎn)完整性評(píng)估;匯集端側(cè)數(shù)據(jù),關(guān)聯(lián)分析攻擊信息,輸出全面的攻擊面像。

  在客戶(hù)場(chǎng)景下的實(shí)際應(yīng)用

  簡(jiǎn)而言之,面對(duì)企業(yè)用戶(hù)在業(yè)務(wù)、規(guī)模的不同發(fā)展階段、行業(yè)屬性所帶來(lái)的不同側(cè)重的風(fēng)險(xiǎn)問(wèn)題、不同的優(yōu)先級(jí),以及部署位置的不同,都可以結(jié)合綠盟科技的WAAP產(chǎn)品方案,選擇貼合自身需求的方案組成與產(chǎn)品形態(tài)。

  這里做三種場(chǎng)景下不同解決方案選擇的簡(jiǎn)單舉例:

  場(chǎng)景一:客戶(hù)合規(guī)為主,在漏洞利用防護(hù)的基礎(chǔ)上,面臨數(shù)據(jù)爬取、惡意掃描、惡意注冊(cè)的困境。

  解決方案:配置集Web安全、Bot管理、API安全為一體的WAF型號(hào),或者通過(guò)WAF升級(jí),新增Bot管理、API安全功能模塊。為用戶(hù)提供快速、全面的安全能力。

  場(chǎng)景二:客戶(hù)業(yè)務(wù)場(chǎng)景多元,如互聯(lián)網(wǎng)電商企業(yè)、醫(yī)院、國(guó)家電網(wǎng),有更趨向于業(yè)務(wù)安全的薅羊毛、庫(kù)存占用、惡意競(jìng)價(jià)、拖庫(kù)、賬號(hào)接管、黃牛黨等場(chǎng)景。

  解決方案:在已有WAF產(chǎn)品的基礎(chǔ)上,可加購(gòu)提供更加專(zhuān)業(yè)化方案的Bot管理產(chǎn)品(BMG),在應(yīng)用安全防護(hù)的基礎(chǔ)上,提供業(yè)務(wù)安全防護(hù)能力。

  場(chǎng)景三:云原生環(huán)境。面向節(jié)假日,流量波動(dòng)大。既有南北,也有東西向防護(hù)需求,需要防護(hù)產(chǎn)品更貼近業(yè)務(wù)側(cè),而不僅僅是在網(wǎng)關(guān)處,集群部署,統(tǒng)一運(yùn)維,風(fēng)險(xiǎn)集中管控。

  解決方案:打包提供WAAP端側(cè)及WAAP平臺(tái)側(cè)能力,面向每個(gè)業(yè)務(wù)伴生發(fā)布云原生安全組件,通過(guò)最小粒度組件化的安全引擎進(jìn)行進(jìn)行安全能力加載,結(jié)合業(yè)務(wù)流量的變化,動(dòng)態(tài)加載安全組件數(shù)量,提供統(tǒng)一的運(yùn)維管理及業(yè)務(wù)風(fēng)險(xiǎn)管理可視化界面。

  總結(jié)

  隨著API以及線(xiàn)上業(yè)務(wù)的開(kāi)展,綠盟科技也將持續(xù)提升針對(duì)OWASP TOP 10、OWASP API Security TOP 10、OWASP Automated Threats的威脅防御能力,為企業(yè)線(xiàn)上的數(shù)字化業(yè)務(wù)提供堅(jiān)實(shí)的安全防護(hù)。后續(xù),我們將更加深入的介紹下一代應(yīng)用安全防護(hù)解決方案中的產(chǎn)品提供的價(jià)值及特性,期待與行業(yè)同仁一道,攜手推進(jìn)安全領(lǐng)域的進(jìn)一步健康發(fā)展,共同應(yīng)對(duì)應(yīng)用安全防護(hù)的新挑戰(zhàn)。

  參考文獻(xiàn)

  1 State of API Security, Salt Labs Q1 2022.5.

  2 The State of the Internet, Akamai.

  3 Protecting Your APIs From Abuse Data Exfiltration, Cloudflare.

  4 Magic Quadrant for Web Application API Protection, 20 September 2021.

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 )