版权声明 本报告版权属于深圳永安在线科技有限公司、中国信息通信研究院云计算与大数据研究所,并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的,应注明“来源:深圳永安在线科技有限公司、中国信息通信研究院云计算与大数据研究所”。违反上述声明者,编者将追究其相关法律责任。 参编人员 毕裕、黄巍、吴越林、李忆晨、卫斌、郭雪、孔松 目录 一、API安全概述1 (一)API已成为数字化转型的重要抓手,安全监管日趋严格1 (二)API屡受攻击,安全治理存在众多难点3 二、API爆发式增长催生新的安全挑战5 (一)API攻击趋势:新型攻击手段频现且难以防范5 1.攻击手段多样化5 2.攻击途径隐蔽化7 3.攻击场景自动化8 (二)API安全挑战:API安全已成为网络安全的最大威胁之一9 1.API资产缺乏可见性,或将带来无法量化的风险9 2.API攻击面不断变化,企业难以管理和把控11 3.现有防护体系难以对API风险进行有效识别12 4.API安全治理成企业数据安全合规的必要举措14 5.企业跨部门协同存难题,API安全全生命周期治理难实现15 三、API安全防护体系建设思路16 (一)总述16 (二)基于API生命周期构建安全防护模型16 1.规划阶段:引入威胁建模理论17 2.开发阶段:加强安全开发建设,引入安全工具19 3.测试阶段:使用AST类工具进行自动化漏洞测试,提高覆盖率21 4.部署阶段:确保API的部署和配置的安全性22 5.运维阶段:利用工具及时感知API攻击威胁23 6.下线阶段:及时下线僵尸影子API25 (三)API安全闭环管理要求和建议26 1.Identify:构建可持续的识别能力27 2.Protect:构建实时的防护能力29 3.Detect:构建全面的检测能力30 4.Respond:构建高效的响应能力32 5.Recover:构建闭环式的修复能力33 四、API安全未来发展趋势展望34 附录12022年全球API攻击重要事件36 附录2API安全最佳实践39 (一)金融行业39 (二)互联网行业40 (三)传统数字化41 图1API生命周期安全管理模型17 图2API安全闭环管理26 图3某互联网企业业务请求量31 表1API安全检查表及最佳实践19 表2API安全编码和开发规范20 一、API安全概述 (一)API已成为数字化转型的重要抓手,安全监管日趋严格 API指应用程序接口(ApplicationProgrammingInterface)。中华人民共和国国家标准《信息安全技术术语》(GB/T25069-2022)将其定义为“一组预先定义好的功能,开发者可通过该功能(或功能的组合)便捷地访问相关服务,而无需关注服务的设计与实现”。应用程序接口作为促进数据流通的重要技术,不仅可以帮助企业建立与客户沟通的渠道,还承担着不同复杂系统环境、组织机构之间的数据交互、传输的任务。API安全指对应用程序接口的完整性进行有效的防护。API安全通常包括接口的信息安全、数据安全以及应用安全。 API成为企业数字化转型的重要抓手。自新冠疫情以来,各企业及机构纷纷加快数字化转型的步伐。国家互联网信息办公室发布的 《数字中国发展报告(2022年)》显示,2022年我国数字经济规模达50.2万亿元,数字经济成为稳增长促转型的重要引擎。随着企业将越来越多的数据和应用迁移至云端,API也正成为企业成功数字化转型的战略重点之一。IDC报告显示,到2021年,超过50%的全球2000强企业,将用API开放生态系统完成其平均1/3的数字化服务交互。开发、管理和保护API安全,将成为数字化时代下企业及机构需要重点考量的关键因素。 云计算引爆API安全危机。随着云计算、大数据、人工智能的蓬 勃发展,越来越多的应用开发深度依赖于API之间的相互调用。与此同时,随着全球云上业务快速发展,API作为系统间的通信桥梁,也正成为攻击者重点光顾的目标,其安全漏洞随着调用量增多而暴露无遗。Gartner在《如何建立有效的API安全策略》报告中预测,API滥用将成为导致企业Web应用程序数据泄露的最常见攻击媒介,到2024年,API滥用和相关数据泄露将几乎翻倍。通过攻击API来破坏信息系统和窃取数据,已成为数字时代黑产活动最集中的方向之一。 我国API相关监管逐渐清晰化,但针对不同领域的API安全攻防体系难以进行规模化落地。2021年9月1日,《中华人民共和国数据安全法》正式实施,为开展数据安全监管和保护工作提供了法律依据,对数据的有效监管实现了有法可依,并完善了网络空间安全治理的法律体系。API作为数据传输间的桥梁,应遵守相关法律进行安全监管。2020年2月13日,中国人民银行发布《商业银行应用程序接口安全管理规范》(JR/T0185—2020)金融行业标准,规定了商业银行应用程序接口的类型与安全级别、安全设计、安全部署、安全集成、安全运维、服务终止与系统下线、安全管理等安全技术与安全保障要求。我国传统产业规模庞大,数字化进程呈现行业细分的特点,不同垂直领域的安全需求差异较大。数据开放共享过程中涉及个人隐私、商业机密等数据的安全保护制度不够完善、防护技术亟待提升。现有API相关标准和API安全攻防体系难以实现规模化复制,导致数据质量规范标准、数据价值量化标准匮乏,因此发展难度也更高。 (二)API屡受攻击,安全治理存在众多难点 国际国内API遭受攻击的事件屡见不鲜,已引发广泛关注。受经济利益驱动的攻击者对各个行业的暴露API进行广泛攻击,非法窃取隐私数据,造成严重社会影响。国际方面,2023年1月19日,美国某运营商暴露的API遭到攻击,导致超三千万名用户的姓名、账单地址、电子邮件、电话号码、出生日期被泄露。2023年1月,数十家全球汽车制造商生产的车辆和车联网服务被披露存在众多API安全缺陷,攻击者可利用API漏洞非法窃取车辆行驶路线信息。2022年,美国某平台网站上超五百万账户的电话号码和电子邮件地址遭泄露,而泄露数据是通过漏洞赏金计划中披露的API漏洞收集的。国内方面,2020年,某社交平台API遭到爬虫攻击,导致超5亿用户信息在暗网出售。2020年11月,某企业被曝出有内部人员有偿租借员工账号,导致数十万条公民个人信息被泄露事件。被泄露的信息中包括地址、姓名、电话等信息。2021年,某企业的API遭到爬虫攻击,涉及用户账号、昵称、手机号、商品等超亿条信息。 新型API攻击手段频现,攻击手段呈多样化、隐蔽化发展。随着API访问环境的愈发开放、API数量的极速攀升,攻击者正开发出更多更先进的攻击工具和方法对暴露在外的API加以利用,早期防护技术已经无法满足现有安全问题的防护需求。新型API攻击主要呈现两个趋势。第一是攻击手段多样化。面对受害者的防御策略,攻击者会同时采用多种攻击方法,形成“地毯式轰炸攻击”模式。针对API的 新型安全威胁包括注入攻击、内容篡改、参数篡改等。在新型攻击手段下,传统API安全网关提供的身份认证、权限管控、速率限制、请求内容校验等安全机制逐渐失灵。第二是攻击途径隐蔽化。合法应用程序所使用的加密通道、端口和协议也为攻击者提供了掩盖其足迹的方法。对于安全专业人员而言,从经由API接口传入和传出的众多HTTPS请求中拦截、筛选和分析可疑流量则变得更加麻烦。 API安全治理存在多个难点,传统API体系问题日趋明显。为了适应数字化进程的快速发展,政府、企业都会开放大量的API,由此造成的数据安全风险敞口,传统的API安全体系并不能完全应对解决。传统API安全体系主要存在四大问题。第一是API资产难以进行全面梳理。API资产盘点仍然停留在主机、服务、端口维度,无法清晰盘点所有API接口,以及可以输出敏感数据的API接口。第二是难以针对API接口进行全面的脆弱性评估。API资产数量庞大且其业务相关性强、迭代速度快,安全运营人员难以对API遗留的安全漏洞进行安全性评估。第三是针对API接口的威胁检测机制不完善。当前普遍缺乏对API的细粒度检测,只能基于已知特征的API、勒索软件、木马、病毒进行威胁监测,无法实时发现数据泄露以及针对API接口特征的攻击。第四是发生API攻击事件后的事后追溯难。企业针对API的日志管理普遍存在分散存储、日志记录不全、格式不规范等问题,一旦发生网络故障或安全事件时,无法在短时间内定位责任人和泄露路径。 二、API爆发式增长催生新的安全挑战 (一)API攻击趋势:新型攻击手段频现且难以防范 数字化时代与线上化趋势下,API作为连接不同应用和系统的桥梁,正迅速成为现代企业的核心组件。API的爆发式增长在为企业提供了更强大、灵活的数据交换和功能扩展能力、创造更多商业机会的同时,也带来了新的安全挑战。API接口数量的暴增与其安全发展的不匹配,使其成为恶意攻击的首选目标,API安全问题受到广泛关注。 1.攻击手段多样化 API是企业数字化转型的关键组成部分,攻击者可以利用各种不同的手段攻击API并窃取敏感数据或者干扰企业的业务流程。常见的API攻击手段包括但不限于: 1.1拒绝服务攻击(DenialofService,DoS)。攻击者通过发送大量占用计算资源的请求,例如大文件下载、高负荷的搜索请求等,使得API服务器无法分辨并响应合法请求,从而导致API服务器资源耗尽,服务不可用。 1.2注入漏洞利用攻击。攻击者通过在API请求中注入恶意代码,以获取未授权的数据或执行未授权的操作。例如,攻击者通过在API请求中注入SQL注入代码的方式,获取数据库中的敏感信息。 1.3未授权漏洞利用攻击。系统对用户的访问控制无限制,攻击者可直接获取未授权的数据或执行未授权的操作。例如,攻击者可在API请求中使用未经过授权的密钥进行API调用,从而获取或修改数 据,导致信息泄露,甚至破坏系统功能。 1.4安全配置漏洞利用攻击。攻击者通过发现API服务器未正确配置安全措施,利用错误配置发起漏洞攻击。例如,攻击者可以通过访问API服务器的管理接口修改API的安全配置,以绕过安全措施获取敏感数据。 1.5越权访问漏洞利用攻击。系统对用户的访问控制限制不正确,攻击者可直接获取超出授权的数据或执行超出授权的操作。越权访问包括水平越权攻击和垂直越权攻击两种形式。水平越权攻击是指攻击者通过利用API的漏洞,获取其他用户或角色拥有的权限范围。垂直越权攻击是指攻击者通过利用API的漏洞,获取比其本身权限更高的权限。例如,攻击者可能会通过利用该API漏洞,通过普通用户的凭证来执行管理员级别的操作。 1.6参数遍历攻击。攻击者通过修改API请求参数来遍历API中的文件或目录,获取未授权的数据或执行未授权的操作。例如,攻击者可通过修改API请求参数,对API的敏感数据或服务器上的文件进行非法访问。 1.7明文传输利用攻击。攻击者通过截获API请求,以获取未加密的敏感信息。 1.8代码设计漏洞攻击。攻击者利用目标API中的代码设计漏洞进行攻击。这些漏洞通常是由于编码或设计错误而导致的,可能涉及不安全的数据处理、缓冲区溢出、格式字符串漏洞、逻辑错误、错误 处理等。例如,某些API可能会设计特定数据类型的处理方式,这可能引发攻击者利用该设计漏洞构造特定类型的恶意数据,从而导致API崩溃或执行恶意代码。 1.9第三方组件漏洞利用攻击。许多应用程序和系统都使用第三方组件,例如开源库、框架和插件,以便快速构建和部署应用程序。此类组件通常由其他开发者编写和维护,在开发过程中可能存在开放性的安全漏洞。攻击者可以利用安全漏洞进行API攻击。例如,攻击者可以利用已知的第三方组件漏洞,绕过API的安全措施并获取系统权限。这种攻击可能会导致数据泄露、拒绝服务等安全问题。 2.攻击途径隐蔽化 为了规避现有安全防护设备的检测,提高攻击成功率,越来越多的攻击者会采用如下方式来隐蔽其攻击途径: 2.1使用代理服务器。攻击者使用代理服务器隐藏真实IP地址和其他攻击特征(如攻击次数、攻击频率)。这