为什么互联网巨头也难逃API攻击？

每一天，数亿个API被各大网站、APP频繁调用，构建出一个高度开放和效率的互联网世界。

然而，人们习以为常的API，却逐渐成为不法黑客进行攻击的对象。目前，全球的API数量仍在呈爆发式增长，API安全应引起人们足够的重视。

API攻击带来的大规模用户数据泄露悲剧，已经在全球多个互联网巨头身上重演。

今年3月底，新浪微博因用户查询接口被恶意调用，导致5.38亿微博用户数据泄露，其中1.72亿有账号基本信息，被公开在网上售卖。

当月，Facebook被漏洞赏金猎人Amol Baikar曝出其OAuth框架权限绕过的API漏洞，并因此获取赏金$55,000美元。

而这并不是Facebook第一次发现自身存在的API漏洞。2018年10月，Facebook因API漏洞，使得5000多万个用户信息被公开。

2019年12月，Facebook因API安全漏洞，使黑客在访问受限的情况下也能访问用户的ID和电话号码，从而导致2.67亿个用户的隐私数据被非法售卖。

众所周知，API并不是一个新事物，经过多年的发展，其相关的技术和协议已相当成熟。然而，为什么连Facebook这种首屈一指的大玩家，都没能幸免API安全问题？

传统防护体系之外的API安全

从API的发展历史看，API技术的发展加速了API的广泛使用，而API的广泛使用又促进API技术的发展。

在国外，继Facebook的开放平台获得成功之后，微软、google相继推出了自己的开放平台战略。在国内，头部的互联网公司也开放了自己的API平台，典型的有微博、百度、腾讯等。

在巨头的推动下，API开放已成为互联网的标配。据百度地图公开数据显示，截止2019年12月10日，其位置服务请求次数突破1200亿次。在中国移动的物联网开放平台OneNET上，日均API调用超过2亿次。

可以看到，如今在互联网、移动互联网、物联网上，API的数量和调用次数都颇为惊人。

从企业使用API的情况看，据消费研究公司One Poll一项调查表明，企业平均管理着363个API，其中69%的公司会向公众及其合作伙伴开放这些API。

虽然企业还在不停地增加API的使用，然而大多数企业并不清楚自己拥有多少个API，也不知道API处于什么状态，这就给黑客带来了更多的入侵机会。有数据表明，2014年全球网络攻击流量有40%来自API，而到了2018年已经飙升到83%。

绿盟科技专家在接受科技云报道采访时表示，API安全问题频发的主要原因，在于 API资产数量多、管理难，清点API资产容易出现遗漏。

可以说，API安全最难落地的一步恰恰是第一步，即API资产梳理。如果能彻底做好这一步，后面的安全能力建设就会顺畅很多。

同时，由于API 处于传统网络安全防御体系的覆盖之外，API安全问题没有受到足够的重视，针对API的攻击成本也就更低。

除此之外，如果企业公开了不该暴露的API，没有做好最小化信息反馈，认证鉴权机制不够完善甚至缺失，均会导致严重的API安全隐患。

应对API攻击需要整合安全能力

针对企业在API使用和管理上的疏漏，绿盟科技专家表示，API攻击一般会通过以下4种方式：

• 未授权访问

业务场景复杂、迭代升级频繁，API权限控制较难做到万无一失。API业务逻辑漏洞难以在测试时被发现，一旦某个接口权限控制出现问题，未授权访问带来的后果难以预料。

从Facebook频发的API安全事件看，其漏洞正是在于失效的用户身份认证。

• 参数的非法篡改

对API参数进行非法篡改和拼接，是目前API攻击中的主流。各类试探性攻击也通常采用此方式发起攻击。一旦服务端参数校验存在逻辑漏洞，API参数篡改很容易带来数据泄露、数字资产损失甚至真实的金融风险。

• 接口滥用

国际调研机构Gartner曾指出，2022年，API滥用将成为最常见的攻击方式之一。短信、电邮等API接口被滥用，不仅给服务提供商带来了经济损失，同时影响了正常用户的业务办理。

• DDoS攻击

对未限流的API发起DDoS攻击，消耗服务器资源或带宽资源，使部分业务瘫痪，是最粗暴血腥的攻击方式之一。

可以看 到，API攻击利用了多种安全漏洞。

对此，派拉软件专家指出，API安全涉及API资产管理、身份认证、API鉴权、数据安全等多种安全防护领域，包含了从DMZ区到APP区的整个过程的安全防护以及防止敏感信息泄露。

因此，业界关于API安全的解决方案，主要思路是利用API网关形态的产品，从传输层加密、API资产的集中全生命周期的管理、最小化授权、对应用和用户身份进行认证等角度，整合API管理的通用能力。

另外，及时发现和阻止API的滥用、数据加密、防重放攻击等也是广受关注的API安全思路。

API网关产品如何解API之痛？

目前，由于API安全的市场意识还不够，许多企业仅仅将API管理网关视为临时解决方案。

针对API 的安全管控也没有太多成熟的产品和方案，只有一些WAF厂商提供基本的API安全功能，如：Akamai、Imperva在WAF防护能力中提出API的安全防护，以及Kong、NGINX、WSO2这样小而美的解决方案。

在国内，这一情况正在被专业安全厂商改善，绿盟科技、派拉软件、瑞数信息等安全厂商相继推出了针对API的安全解决方案，在不同的业务场景下各有侧重。

绿盟科技的API安全防护方案由多款产品组成，能力涉及抗DDoS、Web应用安全防护、身份认证、访问控制等多个维度。

这其中最核心的是SAG（绿盟API安全网关）、UIP（绿盟统一身份认证平台）、BMG（绿盟业务安全网关）三款产品。

SAG 和 UIP可为企业提供API资产的全生命周期管理能力。通过统一代理、统一认证、精细化的流控等手段，实现API访问控制的最小化授权。

BMG 则侧重API安全防护，如在客户端实现流量加密，不仅可有效防止参数的非法篡改，还能在一定程度保障敏感数据交互的安全。此外，全面、细粒度的日志审计能力，也是非常有必要的。

派拉软件的方案则是以API网关为重点，并配合API管理平台和API门户，对API进行全生命周期的管控，是融合了微服务网关和企业级应用网关的一体化解决方案，包含WAF动态安全防护、安全认证、加解密、加验签、限流、API鉴权等多种安全功能。

那么， 在实际的业务场景中，这些API安全方案该如何应用呢？

以某银行机构为例，由于该银行未对API做统一管理，当某个敏捷项目上线时，版本快速迭代，较多API资产对外暴露，导致了一些API安全风险，如：部分API未授权访问、未做参数校验等。

考虑到银行机构一般都部署了NF、WAF、ADS等安全产品，因此针对这类API安全隐患，需重点补充API资产管理、访问控制以及安全防护能力，这是绿盟科技的API安全网关、统一身份认证平台和业务安全网关这三款产品能够对应提供的。

例如，绿盟API安全网关，能够统一管理企业对外API接口，实现TLS/国密加密会话，并将API调用的最小化授权、细粒度流控、日志审计等通用安全能力整合起来，加强API安全的同时提高安全运维效率。

特别对金融机构，当发现异常接口调用时，可第一时间暂停服务调用，熔断降级（如拒绝交易等）。

再看某城商行联盟机构，其API门户为联盟下的40多家银行和券商机构提供统一的API服务，无论是内部应用还是外部第三方的应用，API调用频繁，且涉及多方角色、多种业务，因此针对API门户进行API网关建设尤为重要。

对此，派拉软件的API网关方案从身份认证、安全防护、数据安全三个方面出发，满足企业在安全防护、安全认证、进入控制、API鉴权、合规性审查等方面的需求，从而实现API细粒度的防护。

例如：当不可控的外部调用API时，通过限流、熔断、降权等多种策略对后端服务进行保护。

涉及API非法调用时，可采用Token、OAuth等多种API鉴权方式。当通过API进行应用登陆时，则根据不同的业务级别实施不同的身份认证方式，并进行统一的身份管理。

同时，派拉软件专家也指出，虽然API安全防护非常重要，但也应结合行业特征来考虑安全投入与应用性之间的平衡。

在Facebook这样的互联网巨头中，企业会重点关注高并发下的API服务能力，如果使用了过多的安全策略，很大程度上会导致API服务的性能和应用性不友好。

而在金融、汽车制造等行业，对交易和生产的稳定性、安全性要求更高，而并发数并不像大型互联网企业那么高，因此这类企业会在政策监管的要求下，对API安全进行更加全面的防护。

如今，越来越多的企业在APP、H5、微信小程序等移动端发起业务，在微服务化的趋势下，内外网的交互也越来越多。

可以预见，无论是在互联网还是传统行业，API安全网关将是各大企业不可或缺的安全大门，而API安全市场也将因此迎来爆发式增长。

转载自：科技云报道