應用程式安全性狀態
三個令人驚訝的 Web 應用程式和 API 威脅趨勢
開發人員在建置 Web 應用程式時很少會考慮到安全性。然而,我們每天都將它們用於各種關鍵功能,這使其成為頗具吸引力的駭客攻擊目標。
鑑於 Web 應用程式和 API 及其所持有資料的關鍵性質,遭到利用或未受保護的應用程式可能會導致業務中斷、財務損失和關鍵基礎架構崩潰。
Cloudflare 最近發佈的《應用程式安全性現狀》報告中的深入解析顯示,各企業在 Web 應用程式和 API 的安全防護方面,仍採用過時的方法,而線上威脅執行者的營運卻比以往更有效率且迅速。這項研究是基於 Cloudflare 全球網路所觀測到的彙總流量模式(觀測時間為 2023 年 4 月至 2024 年 3 月),該網路每天能識別並攔截 2090 億起網路威脅。
本文重點介紹了該報告中需要 CISO 立即關注並採取行動的三個主要趨勢。
趨勢 1:組織大量使用過時的 API 安全措施
消費者和終端使用者期待動態的 Web 和行動體驗——這些體驗正日漸透過 API 得到增強和支援。對企業而言,API 增強了競爭優勢——更強大的商業智慧、快速的雲端部署、全新 AI 功能的整合,等等。
然而,對於許多組織來說,API 安全性的發展已經跟不上 API 部署的快速步伐。Cloudflare 利用機器學習模型來識別可能被忽視的 API 流量。在這份報告中,我們發現組織擁有的面向公眾的 API 端點比他們知道的多 33%。(這個數字透過比較基於機器學習的探索與客戶提供的工作階段識別碼偵測到的 API 端點數量來計算的。)
儘管與 Web 應用程式相比,API 帶來了不同的安全挑戰,但我們發現,由某種形式的第 7 層安全性保護的 API 流量中,有 66.6% 主要透過傳統的被動安全性 WAF 規則進行保護,而不是採用具有主動安全性模型的專門 API 規則。被動安全性模型透過封鎖惡意流量並允許所有其他流量通過來運作,而主動安全性模型則指定明確允許哪些流量並拒絕所有其他流量。
建議
隨著企業透過 API 提供更多服務,他們應該透過專門建置的 API 安全性以及由無監督機器學習增強的管理來增強 Web 應用程式安全工具(例如 WAF 和 DDoS)。
產業最佳做法鼓勵使用主動安全性模型規則來保護 API,而不是依賴被動安全性模型規則來保護 API。主動 API 安全性模型允許組織僅接受符合設定的 OpenAPI 結構描述的流量,同時封鎖可能包含攻擊的格式錯誤的請求和 HTTP 異常,從而保護 API。
透過發現影子 API 繼續增強您的 API 安全性。強大的 API 安全工具應該不斷掃描您環境中的每個公用 API,甚至包括那些未受管理或未受保護的 API。
趨勢 2:第三方程式碼導致供應鏈風險增加
大多數組織的 Web 應用程式依賴第三方提供者的單獨程式碼段(通常為 JavaScript)。使用第三方指令碼可以加速現代 Web 應用程式的開發,並允許組織更快地將功能推向市場,而無需在內部建立所有新的應用程式功能。
最新研究表明,平均每個 Cloudflare 客戶網站包含 47 個第三方指令碼、50 個與 JavaScript 函數及其目的地的連線,並提供 12 個 Cookie。
第三方程式碼以及 Cookie 會對網站訪客帶來安全風險,因為這些程式碼通常會載入到使用者的瀏覽器中,而 Cookie 可能會被竄改以接管工作階段或帳戶。攻擊者可以透過多種方式取得修改網站中使用的 JavaScript 元件程式碼的權限,例如使用竊取的帳戶認證或者利用零時差或未修補的漏洞。然後,他們使用此特權存取權限對每個使用該 JavaScript 程式碼的網站發動下游攻擊。
建議
組織需要尋找這樣一家安全性廠商,其能夠自動識別第三方指令碼風險,並提供網站使用的所有第一方 cookie 的完整、單一儀表板檢視。
趨勢 3:三分之一的網際網路流量來自於機器人,但某些產業受到的影響更為顯著
平均而言,機器人佔 Cloudflare 處理的所有應用程式流量的三分之一 (31.2%)。過去三年來,這一比例一直保持相對穩定(徘徊在 30% 左右)。
機器人流量一詞可能帶有負面意義,但實際上機器人流量並非一定是好的或是不好的;這一切都取決於機器人的目的。有些是「善意」的並且執行所需的服務,例如客戶服務聊天機器人和授權的搜尋引擎爬蟲。但有些機器人濫用線上產品或服務,需要予以封鎖,因為它們可能會對收入造成不利影響。事實上,美國和英國的普通企業每年因惡意機器人攻擊而損失超過 4% 的線上收入。
以下產業的機器人流量每日佔比中位數最高:
圖片來源:2024 年應用程式安全性現狀
建議
如果您的產業更容易接收更多的機器人流量,請考慮增加對機器人管理的投資,以先發制人地阻止來自惡意機器人的威脅。
尋找符合以下條件的機器人管理服務:
透過對多樣化的大量資料套用行為分析、機器學習和指紋識別,準確地大規模識別機器人
輕鬆與其他 Web 應用程式安全和效能服務(例如 WAF、CDN、DDoS)整合
允許善意機器人(例如屬於搜尋引擎的機器人)繼續到達您的網站,同時阻止惡意流量
領先於新興風險
許多組織使用傳統安全性硬體、雲端原生安全性和自研安全性工具的組合來應對各種應用程式安全性挑戰。然而,這種分散式的方法使得連接和保護 SaaS 應用程式、Web 應用程式以及其他 IT 基礎架構變得更加困難。IT 無序擴張使攻擊者更容易發現並利用漏洞。而採用統一的平台方法則有助於確保更好的安全性、實現無延遲連線,並透過幫助組織在拓展新市場時遵守當地法規來促進業務增長,同時增強客戶信任。
Cloudflare 應用程式安全性保護應用程式和 API 免遭濫用、阻止惡意機器人、遏止 DDoS 攻擊,並監控可疑負載和瀏覽器供應鏈攻擊。我們的應用程式安全產品與效能套件緊密合作,所有功能均由 Cloudflare 的全球連通雲交付——這是公有雲端的演進方向,其建立在一個可程式設計的全球雲端網路之上,提供了一個統一且智慧的可程式設計、可組合服務平台。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其中之一。
重點
閱讀本文後,您將能夠瞭解:
應用程式和 API 在現代業務和通訊中的作用
需要 CISO 立即關注的 3 個新興 Web 應用程式和 API 趨勢
幫助組織領先於威脅的實用建議
相關資源
深入探討這個主題。
閱讀《2024 年應用程式安全性現狀》報告,深入瞭解如何實現應用程式安全堆疊的現代化,以及如何保護位於全球各地的網站訪客和資料。