2023API安全趋势报告

APISECURITYTRENDSREPORT 目C录ONTENTS 概述02 核心观察04 API威胁态势分析05 攻击态势06 安全防护难点07 行业分布分析08 API缺陷分析08 被攻击API类型分析09 攻击手段分析09 案例分享10 项资产目管背理景1111 敏感信息监测11 缺陷识别11 客攻击户检收测益1121 API安全发展趋势15 自动化攻击加剧API安全风险16 API安全管理更加智能化16 API安全成为云应用安全的重要组成17 合规要求成为API安全的要素17 防护建议18 附录21 OWASPAPISecurityTOP102023解读22 API安全事件合集26 概述 应用程序接口（ApplicationProgrammingInterface，API）是一些预先被定义的接口或协议，用来实现和其他软件组件的交互。API在应用架构上实现了软件的模块化、可重用、可扩展能力，已经成为应用系统中使用广泛的核心支撑技术之一。APP、小程序、智能家电、政务平台、数据交换等都会使用到API相关技术。 在数字时代下，无论是互联网商业创新还是传统企业数字化转型，都推动了API技术的发展，API从只用于企业内部服务调用，到面向外部服务调用，再到如今的对外公开调用，API已经逐步从限制性的局部接口，转向更大和更广的领域。其连接的已不仅仅是系统和数据，还有企业内部职能部门、客户和合作伙伴，甚至整个商业生态。 *报告中数据来源为瑞数信息防护案例及第三方公开数据采样，数据仅供参考。 APIsAPIsAPIs APIsAPIsAPIs 物联网设备猛增 APIsAPIs 边随界时不随复地存访在问 企业内部访问 APIs 业务服务器业务服务器 数据库 API可公开获取、标准化、高效且易于使用的特性，为开发者带来诸多好处的同时，也极大地增加了应用系统新的风险。以Web和API为例，除了传统的Web攻击外，API还面临着资产管理不当、接口滥用、过度数据暴露等威胁。 Gartner在其报告中预测，“到2022年，API滥用将成为导致企业Web应用程序数据泄露的最常见攻击媒介。到2024年，API滥用和相关数据泄露将几乎翻倍”。中国信通院也在《应用程序接口（API）数据安全研究报告（2020年）》中提出API技术在帮助企业建立业务生态沟通桥梁的同时，与之相关的安全问题也日益凸显。 近年来，越来越多的攻击者正利用API漏洞来实施自动化的“高效攻击”，由API漏洞所引发的安全事件，严重损害了相关企业和用户权益，逐渐受到各方的关注。比如： 2021年6月，著名社交平台LinkedIn领英，有超过7亿用户数据在暗网出售，涉及用户的全名、性别、邮件以及电话号码、工作职业等相关个人信息。据悉，部分数据是因为API管理不当导致泄露。 2022年9月，澳洲Optus公司存在未经身份验证的API漏洞，导致数百万用户的个人信息遭黑客窃取。 2023年1月，一个包含约2.35亿用户信息的Twitter数据库在黑客论坛Breached上被公布，此次泄露的数据大约有63GB，其中包括用户的姓名、电子邮件地址、Twitter手柄、粉丝数量和账户创建日期。 核心观察 01 API威胁复杂化 API攻击持续走高 API已成为企业数字业务生态系统的支柱，但同时也给了攻击者可乘之机。相关数据显示，每个企业平均管理超过350种不同的API，其中69%的企业会将这些API开放给公众和他们的合作伙伴。随着API调用数量的增多和自动化工具的兴起，API资产管理不当、自动化攻击、业务欺诈以及数据泄露等风险正在对企业的业务安全构成新的挑战。 02 在远程办公的背景下，员工终端更容易遭到恶意代码感染与钓鱼诈骗，同时企业应用向云端迁移已成为不可逆的趋势，不但容易遭到外部入侵者的攻击，也使得内外共谋舞弊变得更为容易，使得API威胁越来越复杂化。 03 Bot武器更聪明 随着人工智能、机器学习等技术的发展，Bot自动化攻击手段变得越来越普遍和复杂。Bot自动化攻击可以快速、准确地扫描API漏洞或对API发起攻击，对系统造成严重威胁。 4ታ数信息技术（上海）有限公司www.riversecurity.com PART1 API威胁态势分析 攻击态势 防护难点 行业分布 缺陷分析 API类型分析 攻击手段 API威胁态势分析 ꛏ㼆⠛絡8FC余ⴁ30% 随着数字化技术的发展和WebAPI数量的爆发性增长，API面临的安全攻击比例已经超过传统的Web漏洞攻击，API和小程序逐渐成为了很多企业和组织的流量入口，API接口越来越丰富，引发的攻击越来越多，并且通过API接口攻击突破web应用，作为跳板进入目标网络。 ꛏ㼆A1*余ⴁ70% 越来越多的攻击者正利用API来实施自动化的“高效攻击”，由API漏洞利用的攻击或安全管理漏洞所引发的数据安全事件，严重损害了相关企业和用户权益，逐渐受到各方的关注。2022年检测到Web攻击中，针对API的攻击占比已经超过70%。 攻击态势 依据相关数据统计发现，2022年比2021年API攻击增加约60%。相关数据统计显示，虽然2022年受疫情影响，长时间封控在家，多数单位居家办公，但是黑灰产的攻击行为并没有因此而停止，反而增多。 250 200 150 100 50 0 1月2月3月4月5月6月7月8月9月10月11月12月 2021年2022年 防护难点 与传统的Web防护不同，API的安全防护要求更为全面，需要从资产管理、缺陷识别、攻击检测、Bot检测、参数检测、行为识别、访问控制等多个环节考虑，任何环节的缺失或不足都会影响到整体的防护效果： ·多渠道多边界难以全面防护 访问入口的多样化，带来了业务应用部署边界的多样化，如：Web、APP、小程序、第三方平台等业务接入渠道。多样化接入导致了脆弱点的暴露面扩大，增加了风险管控复杂性。在同一防护体系内融合多业务接入渠道的防护是API防护的难点之一。 ·接口分散和传输格式多样性导致接口难以发现 全面准确的API接口发现是API防护工作的基础，对API接口进行自动识别、分类尤为重要。与传统Web应用可以依赖自身结构上的统一入口不同，API自身多以独立个体的方式分散存在，采用点对点的访问模式，难以通过接口之间的联系进行API发现。同时，传输数据格式的多样性（JSON、XML、GraphQL等）也增加了API的识别难度。 ·业务紧耦合防护策略难以通用 API和业务是紧耦合的，针对API的防护策略往往也和业务相关，这就造成API防护策略在跨业务的情况下难以通用，而微服务架构和DevOps模式下应用快速迭代变化的特性也放大了这一难点，解决这一问题是API防护产品快速部署推广的一个难点。 ·合法授权下的滥用风险难以识别 目前API在授权之后的访问控制相对薄弱，海外安全机构SaltSecurity发布《StateofAPISecurity》中显示，95%的API攻击发生在身份验证之后。API防护需要重点关注这些合法授权下的攻击、滥用及数据过度暴露等风险，如何在已经取得合法授权的请求中识别出异常访问，是API防护需要解决的一个难题。 行业分布 不同行业应用、业务形态的差异导致了API使用情况各不相同，访问量中占比最高的为互联网，其次为金融和运营商。 Ⱖ➭9% ❜鸑3% ⼕毫3% ✽翫緸27% 侅肫4% 腊彂4% 佟䏎10% 鵘蠒㉁19%ꆄ輑21% 缺陷分析 API请求流量行业分布 鵂䏞侨䰘凐ꪪ ⿬侨〳麑⾎ 馊勉霄꡼ ⿬侨〳睔佖 僈俒㺙瀦⠛鳕 䱹〡霴凐ꪪ 劢ꊹ勉 瀊⥌䱹〡忝欽 ⯈雽䓳〡⟁ ⠛絡8FC怩峯 在OWASP的参考中已经定义了多种API缺陷，但在用户生产环境中往往难以一一对应，为了更加直观的展示这些缺陷问题，我们对其进行重新的组合。最为广泛出现的API缺陷为过度数据暴露，其次是参数可遍历、越权访问、参数可篡改、明文密码传输、接口误暴露等。 馊勉霄꡼ ⥌䜂麑⾎ ⿬侨睔佖 㺙瀦灶鍒 ✉䎸余ⴁ ⳪霆游欽 443F 瀊⥌鲲挽 騟䖈䱲崵 ⠛絡8FC余ⴁ 类型分析 不同的API功能类型，面临的攻击程度也不一样，尤其是适合Bot进行自动化攻击的接口，例如公开数据查询、登录、下单等类型的接口最容易遭受攻击。 Ⱆ䒓侨䰘叅霧 涬䔶 ♴⽀ 岤ⱃ 瀊⥌ ⚡➃⥌䜂叅霧 ⚌⸉⸅椚 䫏牰霉⟟ 俒⟝♴鲿 䪪㔐㺙瀦 攻击手段 API作为应用与业务的结合体，面临着双重的攻击威胁，除了遭受着传统SQL注入、SSRF、恶意文件上传等攻击外，还面临着各种业务层面的攻击，例如越权访问、信息遍历等。 PART2 案例分享 项目背景 资产管理敏感信息监测 缺陷识别攻击检测 客户收益 案例分享 项目背景 某客户随着业务的发展，大量的API被应用，成为访问服务和数据的入口，但针对API的防护手段比较单一，只部署了WAF进行粗粒度的攻击检测，缺乏针对API资产管理、缺陷识别、攻击检测、敏感信息监测等能力。针对用户业务系统的现状，设计了API安全管控方案，在上线之后对于新增的API、失活API、敏感信息传输等监测能力均有所提升，防护方案主要从以下几个方面入手： 资产管理 作为API安全防护的基础，API安全管控平台通过API资产管理模块实现对API资产的统一管理。API资产管理基于数据建模自动发现被保护站点的API资产，对API资产进行梳理、分析和自动标签分类，实现API资产的生命周期管理，帮助客户发现了疏于管理的API共计100多个。 敏感信息监测 从业务流量中梳理API资产的同时，对流量中传输的敏感信息进行监测，对敏感信息进行分级分类，持续发现通过API传输的敏感信息。有些敏感信息是必要传输内容，但有部分敏感数据因接口的过度暴露而遭到不必要的泄露，对敏感信息的识别可有助发现此现象，使得客户内部敏感信息传输变得可见。 缺陷识别 在API资产和敏感数据资产识别的基础之上，需要检测API在认证、授权、数据暴露、提交检查、安全配置方面是否存在漏洞，令攻击者来利用。解决API在设计和开发时存在的安全问题。方案采用日志流量分析技术，辅助主动探测和人工确认，对API接口进行缺陷检测，发现业务应用中有存在缺陷的API接口，并及时反馈给相关业务部门进行整改。 攻击检测 API攻击不仅包括传统的web攻击，还包括基于业务层面的攻击。针对系统的业务特性，设定了包括传统Web攻击、业务逻辑攻击、账号破解等攻击检测策略。弥补已有WAF在API攻击检测上的不足。 客户收益 ·资产管理 API安全管控平台自部署上线，共自动发现和确认4475个API资产，涉及81个业务分组。通过API资产管理功能，可实现对API资产的自动发现、确认、分组、分类；实现API接口与业务部门、责任人关联，为API资产的安全管理及监控分析做好基础工作。 ·敏感数据传输监测 当前API系统中存在明文传输敏感数据的行为，涉及20个API分组/系统，241个API资产，敏感数据类型包括身份证号、手机号、邮箱、银行卡等信息。梳理出了存在明文传输敏感数据的业务系统、接口路径、数据类型、访问来源等信息，为后续接口管控提供支撑。 ·缺陷识别 在运行过程中，发现系统存在未鉴权、越权访问、明文密码传输、弱口令、接口误暴露、脱敏策略不一致等多种API缺陷。通过缺陷识别，可以了解当前API在合规要求、应用安全等多方面存在的风险和隐患，便于后续有针对性的改进。 ·攻击检测 监测到4765次传统攻击事件，其中高风险事件4586件，中风险事件179件，攻击类型包括SQL注入、命令注入、扫描攻击、0day/Nday等。通过针对API接口的传统攻击检测，可以提升接口安全。 PART3 API安全发展趋势 01自动化攻击加剧API安全风险 02API安全管理更加智能化 03API安全成为云应用安全的重要组成 04合规要求成为API安全的要素 01 自动化攻击加剧API安全