让网络空间更有序
发布日期:2022/07/15文章来源:盛邦安全
在攻防实战和演练过程中,针对目标对象的渗透过程可以概括为目标侦查、暴露面发现、渗透利用、横向渗透几个步骤。攻击方会通过各种渠道对目标对象的全量资产进行收集,尝试从中找到防护的薄弱点,进而展开攻击行动。
但是,随着大家网络安全意识的提升和各类攻防演练的深入开展,促使业务系统的安全加固工作持续升级,资产暴露面不断收敛;与此同时,新业务系统上线前也会开展专门的安全渗透工作来降低被攻击的风险,这导致通过直接渗透的方式突破系统防线的成功率越来越低。
除了偶尔“捡漏”外,攻击方已经基本放弃“死磕”目标系统,而是通过其他“迂回”的战术和途径来寻找攻击突破口,比如社会工程学中的敏感信息收集、邮件钓鱼、小程序、APP、供应链渗透等。通过API进行渗透就是当下攻防对抗中颇受攻击方青睐的一种方式,同时也是防守方需要格外留意和加紧防范的问题。
究竟什么是API
常规定义下,API是应用程序接口(Application Programming Interface)的简称,其含义比较宽泛,泛指一组定义、程序及协议的集合。随着技术领域的细分和前后端分离架构模式的推广,App应用、小程序、微服务、云原生等场景的不断演进和普及,API的应用也越来越广泛。
攻击者为什么偏好通过API进行渗透
此外,API本身就承担着提供数据交互的工作,从API上获取敏感信息再进一步渗透是一种常见的社工方式。
API面临的主要安全威胁
API安全受到当下攻防双方越来越多的关注,除了基于SQL注入、XSS、命令注入等传统攻击方式外,基于权限和行为的API滥用、盗用、权限绕过等手段也成为攻击者的常见操作。总结来说,目前API面临的安全威胁主要分为以下几类:
◆ 常规Web应用攻击,如SQL注入、XSS、命令注入等,通过攻击获取系统权限;
◆ 数据窃取,通过编写爬虫等方式高频次数据查询,窃取API接口的数据;
◆ 权限盗用,如通过系统本身逻辑缺陷、代理、劫持等手段获取调用权限,从而非法获取数据信息;
◆ API接口自身的逻辑缺陷导致的安全威胁,如薅羊毛等行为大多是由于API的逻辑控制不足所导致;
◆ 针对API接口的类DDoS行为,如口令爆破、DDoS攻击等;
◆ 敏感信息泄漏,数据传输过程中未对敏感信息进行处置,例如公民身份证号、电话、联系地址等信息。
针对API安全治理的几点建议
盛邦安全网络资产安全治理体系中的几个关键路径为:摸清家底、备案审核、立体化防御、自动化运营和应急响应。针对API的资产也不例外,同样可以遵循类似的步骤:
三、为API资产定制专项防护策略。除传统的SQL注入、XSS、命令注入等方式外,需要结合业务特征来定制策略,例如针对API滥用和盗用行为,需要结合实际API的调用情况进行细颗粒度的配置;
盛邦安全API安全防护解决方案
盛邦安全API安全防护解决方案,通过被动流量分析,对业务流量进行采集、建模和数据分析,全面识别未知API、临时API、历史遗留API等“暗资产”并结合API资产导入,形成完整的API台账;通过对API的调用频率、趋势、请求次数等维度进行资产画像,形成API行为基线;利用盛邦安全语义引擎、机器学习引擎、规则检测引擎等核心技术,结合API盗用、滥用、数据脱敏、弱口令等防护策略,对API资产进行全方位的防护;在出现异常情况时,可以提供应急响应策略进行快速处置,构建完整的API资产全生命周期安全防护闭环管理体系。
