潜伏在阴影之中：攻击趋势揭示了API 威胁

第10卷，第01期 潜伏在阴影之中 攻击趋势揭示了API威胁 互联网现状/安全性 目录 2为何监测能力很重要 4API：重要的攻击媒介 10行业趋势突显出供应链攻击的危险性 14合规考虑因素 16亚太地区及日本概况 20欧洲、中东和非洲地区概况 25提升监测能力：企业API资产一年回顾 29保护API领域 30方法 31附录 33致谢名单 2024年|2 为何监测能力很重要 今年是Akamai发布《互联网现状(SOTI)》报告并通过该报告来分享安全研究见解的第10年。多年来，随着企业运营方式和威胁形势的演变，这些报告的关注点也发生了变化。从2024年开始，我们不再将Web应用程序攻击和API攻击视为一个主题，而是使用新的数据集，以便Akamai研究人员可以将这两种类型的攻击分开研究。在本报告中，我们将关注以API为目标的Web攻击所占百分比（如需了解更多详细信息，请阅读“方法”部分）。这将有助于我们更好地了解攻击者对API进行攻击的方式，并制定行之有效的抵御策略。 很多公司最近的一些变革都是基于API，这些变革改善了员工和客户体验。但遗憾的是，数字化创新和API经济的迅猛发展也为网络犯罪分子提供了新的可乘之机。因此，监测能力是API安全中一个至关重要的方面。一旦影子API或恶意API等盲点得以揭示，安全团队就可以开始解决先前未察觉到的漏洞。 在2024年的第一期SOTI报告中，我们将重点介绍以API为目标的各种攻击（包括传统Web攻击），并通过常见问题领域（例如，可通过数据进行监测的安全态势和运行时挑战）来应对API滥用带来的危险。此外，我们将按行业和区域说明这些危险，以便您更准确地评估您公司面临的风险。我们还会提供一些真实案例分析，强化合规要求，并说明法规趋势如何影响您的安全策略。在本报告结尾部分，我们将介绍有助您提升对API环境的监测能力的措施，以便增强您的整体安全态势。 潜伏在阴影之中：攻击趋势揭示了API威胁|第10卷，第01期 报告的关键见解 •在2023年1月至12月这12个月期间，共有29%的Web攻击以API为目标，这表明API是网络犯罪分子的重点攻击目标。 •对API的攻击包括开放式Web应用程序安全项目(OWASP)十大API安全风险清单以及OWASP十大Web应用程序安全风险中强调的风险，还有使用结构化查询语言注入(SQLi)和跨站点脚本攻击(XSS)等屡试不爽的方法来渗透其目标的攻击者所带来的风险。 •业务逻辑滥用成为一个严重问题，因为在缺乏API行为基线的情况下，识别异常的API活动变得尤为困难。企业若缺乏解决方案来监视API活动中的异常情况，将面临运行时攻击的风险。例如，数据抓取作为一种新兴的数据泄露媒介，可利用经身份验证的API从企业内部缓慢窃取数据。 •API已成为当今大多数数字化转型的核心。因此必须了解行业趋势以及相关应用场景，例如会员欺诈、滥用、授权问题和盗刷攻击。 •企业在安全策略流程中应尽早考虑合规要求和新出台的法规，以避免未来可能需要重新设计策略。 潜伏在阴影之中：攻击趋势揭示了API威胁|第10卷，第01期 2024年|3 API：重要的攻击媒介 从设计角度来看，API是数据管道。因此，一旦攻击者通过漏洞利用或针对业务逻辑的攻击等常用手段实现未经授权的访问，API便可能将数据暴露给攻击者。2022年，Gartner预测API滥用和数据泄露到2024年几乎将会翻倍增长。时间如梭，现在的情况是备受瞩目的API事件比以往更加常见。开放式Web应用程序安全项目(OWASP)是以其十大安全风险清单而闻名的非营利组织。实际上，去年他们发布了一份专门关于API风险的单独清单，名为“OWASP十大API安全风险”，以帮助企业辨识API所带来的特有威胁。 Akamai的研究发现，API正在成为攻击目标，攻击手段不仅包括传统攻击方式，还有针对API设计的特定攻击技术，因而需要采取多种保护措施。实际上，我们发现，从2023年1月到12月，近30%的网络攻击以API为目标（图1）。除非企业能够正确地保护其API或摸清其环境中使用的所有API，否则随着API使用需求的增加，这些攻击也很可能会继续增加。了解攻击面的完整范围首先从一份全面准确的API清单开始。 月度网络攻击次数 2023年1月1日–2023年12月31日 240亿次 200亿次 目标Web应用程序 API 160亿次 攻击次数 120亿次 80亿次 40亿次 1月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月 0次 图1：针对API的网络攻击从1月份的22%增长到12月份的28%，2023年3月至5月期间出现几次波动 潜伏在阴影之中：攻击趋势揭示了API威胁|第10卷，第01期2024年|4 此外，我们还在全球范围内观察到一些有意思的趋势，欧洲、中东和非洲地区(EMEA)地区遭受的以API为目标的Web攻击占比最高(47.5%)，紧随其后的分别是北美地区(27.1%)和亚太及日本(APJ)地区(15%)。在国家/地区层面上，遭受此类攻击最多的区域分别是西班牙(94.8%)、葡萄牙(84.5%)、荷兰(71.9%)和以色列(67.1%)。值得一提的是，相比之下美国遭受的以API为目标的Web攻击仅占比27.6%。 区域攻击情况存在差异的原因有很多，例如监管环境、地缘政治冲突、基础架构类型、入学机会和教育差异、商业模式和社会因素等。但是，还必须注意的是，您可能会发现某个网络攻击趋势最初在一个地区或行业中出现，然后又会转移到其他地区或行业。因此，我们有必要跟踪更广泛的趋势。如需了解区域级趋势的更详细讨论内容，请阅读本报告中的“亚太地区及日本概况”和“欧洲、中东和非洲地区概况”。 API成为攻击重灾区 对攻击者攻击公司API的方式以及他们常用策略的研究阐明了您应当关注的防御区域。在过去12个月里，HTTP协议(HTTP)、结构化查询语言注入(SQLi)和数据收集攻击是攻击者青睐的一些手段（图2）。在HTTP攻击中，攻击者会将各种协议中的漏洞用于恶意用途，例如读取敏感数据和欺骗客户端或服务器等。另一种常用手段是活动会话，它与可疑攻击流量在会话期间会被标记和拦截的各种情况有关。对于数据收集，顾名思义，它与搜集或收集信息相关的攻击有关，攻击者可以将收集到的这些信息用在今后的其他攻击中。（如需查看攻击媒介定义的完整列表，请参阅本报告结尾部分的附录。） 潜伏在阴影之中：攻击趋势揭示了API威胁|第10卷，第01期 2024年|5 利用我们最新的数据集，我们能够监控针对API的更多攻击媒介。典型案例：服务器端请求伪造(SSRF)是我们在去年的SOTI《钻过安全漏洞》中提到的新兴攻击媒介之一，可用于获取敏感信息或执行命令。 不同媒介的API攻击占比 2023年1月1日–2023年12月31日 45% 40% 35% API攻击所占百分比 30% 25% 20% 15% 10% 5% HTTP 活动会话 SQLi 数据收集 LFI XSS SSRF CMDi RFI WAT WPA 0% 43.8% 25.0% 14.1% 12.8% 8.6%8.2% 7.4% 7.1% 4.5%4.5%4.5% 图2：虽然本地文件包含(LFI)不是针对API的主要攻击媒介，但它仍然是一个值得关注的领域，因为它可能会被用于渗透预定目标。不过，深入了解针对Web应用程序和API的攻击分布情况后，可以发现LFI仍是主要攻击媒介之一 我们的研究结果还表明，爬虫程序请求是一个值得关注的领域。根据Akamai的数据，2023年全球范围内几乎三分之一的可疑爬虫程序请求都以API为目标。虽然这些爬虫程序请求不一定都是恶意请求，但攻击者可以将它们用作攻击手段，执行可能会导致信息盗窃的撞库攻击和数据抓取。 我们强调这些类型的攻击是想说明，除了OWASP十大API安全风险、针对访问的攻击、数据滥用/抓取以及配置错误之外，企业还需要跟踪许多直接攻击并让其渗透测试团队和红队进行检测。 API安全方面的真实经验教训 Akamai与全球企业开展密切合作，收集与API使用相关的详细信息并执行高级行为分析，以识别安全漏洞和API滥用迹象。从Akamai对API活动的看法来说，我们通常会看到API活动存在两个截然不同的问题：态势问题和运行时问题。 潜伏在阴影之中：攻击趋势揭示了API威胁|第10卷，第01期2024年|6 2024年|7 1.态势问题与企业API实施中的缺陷有关。指示态势问题的告警可帮助安全团队识别并修复高优先级漏洞，提前避免攻击者利用这些漏洞。 2.运行时问题是需要紧急回应的主动威胁或行为。虽然这些告警通常在本质上非常关键，但与其他类型的安全告警相比，它们更隐蔽，因为它们采用了API滥用的形式，而不是较为明确的基础架构入侵尝试。 最常见的态势问题 下面列出了我们观察到的最常见的态势问题，并简要概述了这些问题未得到解决时对企业的潜在影响。 影子端点 影子端点是过时或旧版本的API，它们未被停用或未进行文档记录。有时，它们指的是僵尸、恶意或旧版API，会带来较高的利用风险，因为它们不受企业的标准安全控制措施和方法的约束。 未经身份验证的资源访问 未经身份验证的资源访问是指用户或系统能够不提供任何形式的身份验证而访问API资源的情况，通常由API实施或配置中的缺陷所导致。虽然很多未经授权的资源通过隐匿被隐藏起来，但找到这些资源的攻击者可能会利用它们来访问敏感数据或应用程序功能。 URL中的敏感数据 在某些情况下，可能会在某个API请求的URL中观察到密码、身份验证令牌、信用卡详细信息以及个人身份信息(PII)等敏感数据。URL中的数据往往存储在攻击者或许可以访问的位置（例如，存储在日志和缓存中），从而会产生敏感数据泄露和合规问题等重大风险。 宽松的CORS策略 宽松的跨源资源共享(CORS)策略是指API允许超出必要范围的源（例如，协议、域和端口）发出访问请求。过于宽松的策略会让攻击者更容易从不受信任的来源访问敏感资源，以及更容易实施跨站脚本攻击(XSS)等攻击技术。 潜伏在阴影之中：攻击趋势揭示了API威胁|第10卷，第01期 客户端错误过多 当系统观察到失败的API资源请求数量异常高时，就会生成客户端错误过多告警。虽然很多客户端错误是配置错误和其他非恶意错误造成的，但客户端错误过多告警可能表示攻击者正在探测API实施以寻找漏洞。 最常见的运行时问题 对所观察到的运行时告警执行类似的分析时，我们发现了以下代表潜在主动威胁的常见API安全问题。 未经身份验证的资源访问尝试 该衍生问题比上一节中所述的未经身份验证的资源访问态势告警更加紧迫。 在此类问题中，我们发现攻击者未进行适当的身份验证就能够对敏感API资源进行明确的访问尝试。即使观察到的尝试未成功，这些情况也表明攻击者在主动尝试寻找并利用API漏洞。如果不进行及时干预，此尝试过程有可能最终取得成功。 JSON属性异常 使用异常JSON有效负载（例如，意外数据类型、异常大小或过于复杂）的API活动可能表示攻击者在主动尝试利用容易受到攻击的API。此活动可能表示攻击者在尝试执行各种恶意操作，例如注入攻击、拒绝服务、数据外泄或利用API逻辑缺陷。 路径参数模糊测试尝试 路径参数模糊测试是故意在API请求中发送意外或格式错误的数据的另一个 示例，重点是RESTfulAPI用于指定某些资源或操作的URL部分。它是攻击者用于进行侦察以发现潜在易受攻击API的另一种技术，可以通过数据外泄或服务中断尝试来攻击这些API。 不可能的时间旅行 在分析API活动时，会出现API调用的时间戳、地理位置或顺序不合逻辑的 情况，这表明攻击者正在尝试通过某种方式来操纵API。此外，此行为类型有可能表示存在多种可能的威胁，例如欺诈活动中包含的数据篡改。 潜伏在阴影之中：攻击趋势揭示了API威