今日,仍然有一些 API 資安威脅是大部分 WAF 及機器人防護解決方案無法克服的。在這篇文章,我們將解釋這些新型的的威脅,並針對 API 防禦所需要的功能或解決方案提供你一些建議。
當惡意攻擊者製造一個完全有效的 API 呼叫,而這個呼叫能夠規避傳統資安系統的偵測時,這樣的問題並不是靠機器人防護和 WAF 就能處理的。在上述例子中,攻擊者來自經過授權的工作階段,無法透過 API 存取管理系統阻止,這是因為一般的驗證架構無法偵測完全符合 object payload 的 API 呼叫。在這樣的情況下,攻擊者就能騙取應用程式的使用者資料,並引發資安漏洞。
還有一個例子是,因為應用程式的一個小功能被錯誤安裝,而導致攻擊者 A 可以登錄應用程式,A 還能透過修改參數偽裝成使用者 B,假裝以使用者 B 的身分發送請求並獲取資料,即使這一系列的行為都是來自 A 的工作階段。看到這裡,你可能已經發現此入侵方式是如何迷惑傳統資安系統了。當 API 的使用越來越普及,這樣的攻擊情況也就越來越常見。
API 資安威脅通常以兩種形式出現。一種是如 log4j injection 這樣已知的注入攻擊,另一種則是未知且針對應用程式的商務邏輯和資料架構的攻擊模式。而後者需要的是異於傳統解決方案可提供的防禦方式。
全方位的網路及 API 安全解決方案的優勢
這邊使用 OWASP 網站應用程式的十大弱點,來介紹全端網路及 API 安全解決方案如何幫助你防範攻擊:
A10 : 紀錄與監控不足
該解決方案可以讓企業充分的紀錄並監測資料,而且還不會影響到系統效能,更能為應用程式的開發及部署建立一道防線
A9 : 版本控管不當
API 裡的資料和 API 本身有相同的資產價值,因此 API 的安全與資料安全息息相關。全方位網路及 API 安全解決方案可以讓 API 及其內部資料變得完全可見,讓企業能更全盤的考慮安全政策的使用。
A8 : 注入攻擊(Injection)
全端網路及 API 安全解決方案提供最新的 WAF 網站應用程式防火牆,以應付可能影響 API 安全的程式碼注入攻擊及零日漏洞。
A7 : 不安全的組態設定
企業常常會輕忽 API 監測設定上的錯誤。大部分的時候,API 安全測試及驗證都和 schema 差不多;不幸的是,schema 也經常被忽略,而僅被視為一個文件規範而已。最重要的是,企業必須找到方式去監測 API 用法,並二次確認由程式碼手動生成的 API schema,而非只是盲目的相信 schema 正在自己發揮作用。而全方位的網路及 API 安全解決方案將對此有所幫助。
A6 : 批量配置不當
當有一個惡意攻擊者欺騙應用程式,以 admin 的身分讓應用程式進行更新或指令,一個普通的偵測工具或機制,如何在不依賴 DevOps 團隊的情況下,創造出針對應用程式的 profile 呢 ? 全方位的網路及 API 安全解決方案可以自動運行以上活動,並弄清應用程式是如何溝通的。
A5 : 無效的功能權限控管
開發人員會設計應用程式以防止未授權的外部使用者執行重要的應用程式功能,而他們最顧慮的是未經授權的 north-south API 呼叫,此呼叫有可能引發外部機構與應用程式的連通。當開發人員採用「前端程式的後端」設計,讓受信任的前端進入後端時,API 會使用 east-west 的呼叫方式進行內部傳達。全方位的網路及 API 安全解決方案可以偵測前端是否正在進行未授權的呼叫。
A4 : 缺乏資源與速率限制
傳統的 API 安全解決方案會計算 API 的呼叫次數,但呼叫次數並不是最重要的指標。API 的呼叫方式也是相當重要的,因此企業也會使用更進階的機器人防禦方案,來分辨執行呼叫的身分是人,還是良好或惡意的機器人。
A3 : 資料不當外洩
比起監控 API 的呼叫數量,能否偵測到敏感的資訊在什麼樣的情境下曝光是更加重要的。全方位的網路及 API 安全解決方案可以幫助你識別並分類敏感資訊。
A2 : 無效的身分驗證
許多 API 閘道會提供嚴格的 token 驗證方式,但透過帳戶接管(ATO)就可以產出隨機的 token。許多時候,惡意機器人會利用接管帳戶的方式來產出有效的 API token,接著他們就能自動進行一連串的攻擊,導致資料外洩。而全方位的網路及 API 安全解決方案會到上游確保帳戶是否安全。
A1 : 不安全的物件授權
資料項目之間的互動關係也是必須注意的。還記得我們先前提到,攻擊者 A 利用使用者 B 的身分來騙取應用程式資料的案例嗎?一個自動化的安全方案能夠偵測到傳統機制無法察覺的異常行為。
若你對於Imperva 的 API 安全解決方案有興趣,歡迎諮詢蓋亞資訊。我們擁有豐富的資安經驗、國際認證技術團隊、高客製化的解決方案,以及 24*7 中英雙語線上維運服務,在 2020 年晉升 Imperva 台灣地區唯一的白金級合作夥伴(Platinum Partner),更於 2021 年榮獲 Imperva 總部頒發 2020 年度全球傑出業務獎,為企業資安防護的最佳夥伴。馬上透過下方按紐聯絡我們,獲得免費諮詢吧!
