74% 的組織現在以 API 為核心
單點解決方案如何造成更大的漏洞
2022 年底,T-Mobile 因應用程式設計介面 (API) 遭到利用而導致 3700 萬客戶帳戶資料外洩。此次外洩事件以及其他影響 T-Mobile 的事件,導致該公司最終向美國聯邦通訊委員會 (FBI) 繳納 3150 萬美元的罰款。許多其他公司也在經歷 API 攻擊,這些攻擊可能會透過帳戶盜用以及信用卡資訊盜竊等手段,最終導致詐欺行為。
使用 API 進行軟體開發的情況正在迅速增加。這種趨勢有助於加速創新,但也為企業帶來了新的風險。
API 越來越多地被用於簡化將新特性、功能和資料來源整合到軟體中的過程,包括用於生成式 AI 的大型語言模型 (LLM)。API 協作平台提供者 Postman 的一份報告顯示,2024 年,74% 的調查受訪者是以 API 優先的組織,高於前一年的 66%。Gartner 報告稱,超過 80% 的調查受訪者在內部使用 API,而略高於 70% 的受訪者也在使用第三方 API,例如由 SaaS 廠商提供的 API。
不幸的是,使用 API 將軟體與新功能和資料來源連接起來也會擴大組織的攻擊面。API 遭受了各種各樣的攻擊,包括零時差漏洞、分散式阻斷服務 (DDoS) 攻擊、驗證濫用等等。
最重要的 API 風險有哪些?您的組織應如何應對這些風險,從而繼續最大限度地發揮 API 的優勢?
瞭解 API 安全性風險以及現有解決方案的局限性
對於攻擊者來說,API 是主要目標。許多攻擊者敏銳地認識到,組織經常快速採用新的 API,卻沒有實施足夠的安全措施。
這些攻擊者正在尋找多種方法來利用 API 的漏洞。許多人利用授權和驗證方面的弱點,而這些弱點位列主要 API 安全風險之中。這些風險對於 API 來說比對於 Web 和行動應用程式更為嚴重:API 可能攜帶敏感和動態的資訊,這些資訊不能像在 Web 或行動應用程式中那樣以硬編碼或純文字形式儲存。當 API 缺少驗證或授權原則過於寬鬆時,它們很容易受到物件層級授權失效 (BOLA) 攻擊,從而導致未經授權的資料存取。
其他攻擊者會發起 DDoS 攻擊,向那些未對請求數量設限的 API 傳送大量請求。當攻擊者成功實施 BOLA、DDoS 或其他攻擊時,他們可能能夠存取流經該 API 的各類使用者資料,例如信用卡資訊、醫療保健資訊或其他個人識別資訊 (PII)。
組織通常使用傳統的 Web 應用程式防火牆 (WAF) 規則來保護 API 流量。但是,這些解決方案使用的「被動」安全模型僅封鎖已知威脅,不足以攔截許多現代的、針對 API 的攻擊。與此同時,太多組織針對應用程式和 API 安全性實施了拼湊式的單點解決方案,這不僅在覆蓋範圍上存在漏洞,還大幅增加了管理的複雜性。
透過多層面的企業 API 安全性策略對抗風險
消除漏洞並阻止針對 API 的各類攻擊需要一個多層面的企業 API 安全策略。團隊需要實施最佳做法,更好地瞭解整個企業正在使用的 API,然後查明漏洞、封鎖惡意流量、保護資料並簡化管理。
提高可見度:如果您不知道某物存在,就很難保護它。然而,許多 IT 和安全團隊對組織內正在使用的 API 缺乏完整的記錄或可見性。根據最近對 API 呼叫和 HTTP 請求的分析,組織面向公眾的 API 端點數量比他們意識到的多出 33%。
API 探索是保護這些關鍵元件的重要第一步。對內部和第三方 API 進行清單整理,可以幫助您消除「影子 API」的使用,並開始制定統一的 API 安全策略。
同時,API 探索還可以透過發掘現有的預先建置功能來提高開發效率。建立 API 目錄可讓開發人員輕鬆找到並整合所需的功能,從而避免為 API 已經涵蓋的功能編寫程式碼。利用機器學習:API 探索不一定是繁瑣的手動過程。採用機器學習的服務可以找出使用其他服務可能發現不了的 API 流量。
機器學習也可以改善 API 保護。特別是,您可以使用基於機器學習的服務來偵測可能僅在一段時間內緩慢執行的攻擊。這些攻擊旨在逃避識別大流量攻擊的工具。識別您的 API 風險狀態:在更好地瞭解您的組織正在使用哪些 API 後,您需要識別其潛在風險。當然,發現潛在問題並加以解決可能看起來令人生畏,對於剛接觸 API 安全的組織來說尤為如此。實施合適的 API 安全工具可以幫助團隊查明驗證設定錯誤、敏感性資料外洩風險、BOLA 攻擊漏洞等。然後,該工具會推薦相應的控制措施和政策來改善您的安全狀態。
建立主動安全性模型:為了更好地保護 API,組織應棄用僅封鎖已知威脅的被動安全性模型。實施「主動」安全性模型可以截獲更多惡意流量。您可以僅接受符合 OpenAPI 結構描述的流量,同時封鎖所有其他請求。
實施資料丟失預防:API 策略必須阻止可透過 API 交換之敏感性資料的外洩。採取主動方法是最好的選擇。持續掃描回應負載中的敏感性資料可以幫助您識別並防止資料外流的嘗試。
整合 API 工具:采用多个 API 為開發人員提供了一種有效的方式來快速增強應用程式的功能,但這也給本就複雜的 IT 環境增添了更多複雜性。透過整合用於建置應用程式、提升效能以及加強安全的工具,您可以提高可見度,並重新掌控您的 IT 環境。
全球連通雲可以提供一個統一的平台,讓您能夠處理 API 探索、應用程式開發、效能最佳化和安全性事項,而無需在多個單點解決方案之間切換。使用統一平台,您可以將安全性更好地整合到開發流程中,建立更強大的 DevSecOps 工作流程,在開發流程早期解決潛在的安全性問題,並消除快速交付新功能的障礙。
在 API 世界中向前邁進
無論您是領導 API 優先的企業,還是根據具體情況採用 API 以加速創新發展,保護這些基本介面都應成為首要任務。攻擊者已明確表示,他們將 API 視為易受攻擊的目標。建立適當的企業安全性 API 策略可幫助您解決漏洞,而不會增加多個單點解決方案可能帶來的管理複雜性。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其一。
深入探討這個主題。
閱讀《CISO 的 API 安全性指南》電子書,進一步瞭解如何保護 API。
重點
閱讀本文後,您將能夠瞭解:
對加速創新至關重要之 API 的主要漏洞
現有安全性策略的局限性
如何使用 API 安全最佳做法消除漏洞並更好地偵測威脅