大规模学生信息泄漏再敲API接口安全警钟,企业应当如何应对?
近日 ,网传某大学毕业生马某在硕士期间通过爬取学校网站某系统的API接口,盗取了该校自2014级到2022级所有学生的个人资料,包括照片、姓名、学号、籍贯、生日等,并公开发布在网站上供人浏览,甚至还可以给该校女学生的颜值打分。虽然马某已被海淀公安局分局依法刑事拘留,但此事后续带来的影响和冲击仍然不断在网络上持续发酵。
事实上,近几年由API攻击引发的大规模数据泄漏事件不在少数:
早在2021年4月,Linkedln曝出惊天数据泄露事件,黑客通过API漏洞入侵了7亿多Linkedln用户的数据,并在暗网上出售这些数据;2021年6月,国内某大型电商平台由于API接口被爬虫攻击,导致用户ID、昵称、手机号以及用户评价等敏感信息遭到泄露,超11亿8千多万用户受到影响。2023年1月,2亿Twitter用户数据被以2美元的价格出售,数据流出的渠道仍旧是API漏洞……
这些事件不过当前严峻API安全形势的冰山一角。随着微服务架构的普及、开发向低代码/无代码转变,API的应用持续扩大。据有关机构统计,2022年我国新创建了6700多万个API,大量的数据通过API进行共享交互,但与之对应的API安全措施却并没有引起机构足够的重视,这是造成上述诸多数据泄漏事件的重要原因之一。
01
什么是API安全
API它的全称是Application Programming Interface,也叫做应用程序接口,它定义了软件之间的数据交互方式、功能类型。是不同软件应用程序之间进行通信和交互的接口,允许应用程序之间共享数据和功能。
API安全就是指保护应用程序编程接口(API)免受未经授权的访问、滥用和恶意攻击等的一系列措施和方式。API已经在软件应用体系结构中占有重要的地位。通过在多个服务之间建立通信管道,它们彻底改变了Web应用程序的使用方式。除了传统的CS或第三方通信之外,API也在微服务中占有绝对的重要地位,微服务是当今最具创造性和最常用的应用程序架构模型。因此,保护API以减少其被攻击的机会,成为企业无法回避的责任。
02
API安全风险TOP 10
API安全是信息安全的新兴领域,OWASP(Open Web Application Security Project)API Security是一项专注于API安全的研究项目,OWASP组织在2019年第一次提出了API Security Top 10的概念。这份TOP 10清单以其独特的视角,准确地揭示了API安全中的重要风险。在今年的6月5日,OWASP又正式更新发布了2023版API安全Top 10清单(如下图表)。
从上面清单中可以发现2023年发布的正式版与2019年第一版相比,4年来API安全领域发生了不小的变化,上面的列表中更新和新增的风险占了多数,比如OWASP API Top 10 2023 新增对敏感业务无限制访问、服务器端请求伪造 (SSRF) 和 API 的不安全使用三类。另外对4条风险点进行了更新:用户身份认证失败(Broken User Authentication )修改为身份认证失败 (Broken Authentication),并且在 OWASP 2023 年 API 前十名列表中仍保持第二名的位置。对象属性级别的授权失败( Broken Object Property Level Authorization),在最新列表中排名第 3,结合了过度数据暴露 (API03:2019)和批量分配 (API06:2019)。这两个风险点都强调需要正确保护 API参数 ,以防止威胁参与者未经授权的访问和利用。还有资源访问无限制(Lack of Resources and Rate Limiting )重命名为不受限的资源消耗(Unrestricted Resource Consumption)。2019的版本中重点放在漏洞上,但现在不受限制的资源消耗(API04:2023)还强调了没有适当的速率限制和其他资源使用限制的后果。
03
企业中常见的API风险
根据Wallarm的最新报告,API攻击数量在2022年暴增两倍,API漏洞数量下半年比上半年增长了78%,API漏洞利用时间(漏洞CVE发布到漏洞利用POC发布之间的时间)从二季度的58天骤减到四季度的-3天,今年API安全将延续这一趋势。
API安全事件屡见不鲜,其主要原因是随着API的广泛使用,针对API的恶意攻击行为愈发增多。然而,作为使用API的企业,既要API的开放,又要API的安全,成为了企业开展数字化业务的“两难困境”。企业大部分情况下很难及时了解API安全缺陷及流动的敏感数据情况,尤其在互联网、金融、政府、教育、医疗、能源等存在大量API及流动数据的行业,主要体现在四大难:
摸不清:API资产难管理
随着业务应用的持续增加,API数量爆发式增加,导致很多企业并不清楚自己有多少API,更不了解API处于什么状态,系统中存在大量影子API、僵尸API。面对异常庞杂的API资产,如果单纯依靠人工进行资产梳理,企业根本无法了解API资产的真实情况,更无从掌握API面临的安全风险。
看不透:API漏洞难发现
API安全是网络安全的新兴领域,OWASP在2019年才第一次推出了API Security Top 10。而企业的安全人员对API安全的理解往往不够深入,很多API未经严格的安全测试就上线,导致存在严重的安全缺陷,如未授权访问、越权访问、关键数据未脱敏、数据伪脱敏、输入参数可遍历等,增加了数据暴露的风险。
测不到:API攻击难发现
难以管控的API资产与难以发现的API漏洞会持续扩大应用程序攻击面,让攻击者更容易进行侦察、收集配置信息以及策划网络攻击。面对难以发现的API攻击,企业不但需要防范已知攻击,还要及时对未知攻击做出响应,这要求API安全产品不但要具备丰富的威胁模型,还要具备应对未知风险的能力。
拦不住:敏感数据难感知
目前利用API窃取敏感数据并进行业务欺诈已经成为黑客最常用的攻击方式之一。如果企业不能有效识别敏感数据,对数据进行脱敏、加密处理,无异于放任数据在API这条“数据公路”上“裸奔”,一旦流量被截获、破解,后果不堪设想。因此,企业必须构建对敏感、重要数据的识别、溯源能力,保证数据被安全的调用、传输。
04
如何应对新形势下的API安全风险?
从本质上讲,API 会暴露应用程序逻辑和敏感数据,例如个人身份信息 (PII),因此,越来越多的黑客利用API窃取敏感数据并进行业务欺诈。没有永远安全的 API,如何动态、实时地发现API安全风险成为了当下企业难以解决的问题,建议企业加强API安全建设时做好以下几点:
接口普查要当先
正所谓不打无准备的仗,“打仗”之前得先弄清楚立场,哪些是需要保护的资产,因此我们首先要做的事就是做到全方位摸排资产信息,通过在动态的接口调用流量中,梳理出完整的API资产清单,并对API按照业务属性进行分类标识,针对接口调用对象、涉及的敏感数据、调用频次等综合统计接口多维信息,做到API接口概况了然于心。
隐患排查随其后
“打铁还要自身硬”,“苍蝇不叮无缝的蛋”……大部分的API安全事件的发生,皆是因为自身存在安全配置错误、访问鉴权不合理、数据过度暴露、登录弱密码等脆弱性,这些脆弱性一旦被利用,安全高地分分钟被拿下。因此在API资产清单梳理完成后,API的自身隐患(脆弱性)需要进行动态的排查,尽量避免API漏洞的出现,做到隐患早暴露早整改。
攻击风险要重视
在2023年的API安全风险清单TOP10中,新增了SSRF、自动化威胁检测不足等,可见API所面临的攻击风险异常严峻。API接口与业务紧密关联,尽管API隐患排查已经做到及时补漏,但是风险无处不在,针对API的外部攻击、恶意利用都是对API安全体系最大的威胁之一,因此需要建立起一套符合API业务特点的安全风险监测体系,做到风险及时发现。
安全防护来兜底
千万不要以为做到上面三点就万事大吉了。有人说我们有WAF做底牌,妈妈再也不用担心API被攻击了。打住,ChatGPT都知道WAF并不能有效阻止API攻击,虽然API和Web存在共通点,但是它们的维度是不一样的。API要有属于自己的安全防护手段。符合API业务特点的安全整体方案,除了需要涵盖以上几点,同时还要具备安全防护能力,包括攻击防护、自动化威胁防护等,为API安全来兜底,真正意义上做到API上线后的全方位安全武装。
闪捷信息科技有限公司(Secsmart)是一家专注数据安全的高新技术企业,创新性提出“云·管·端”立体化动态数据安全理念,将人工智能、前沿密码技术成功应用于数据安全领域,实现对结构化和非结构化数据资产的全面防护。闪捷信息已构建覆盖大数据安全、云数据安全、应用数据安全、数据防泄漏、工业互联网安全和数据安全治理等领域的全栈数据安全产品体系与服务能力,广泛应用于政府、电力、金融、通信、医疗、教育等行业。