威脅情報和API安全方案廠商永安在線近日發布了2022年第三季度的《API安全研究報告》，該報告基于永安在線情報系統在當季發現的一手API攻擊事件匯集而成，從實際發生的風險來反映當下API安全的風險態勢。報告內容顯示，當前我國API安全形勢依然嚴峻，對企業的業務和數據安全帶來極大挑戰。

　　針對API的攻擊數量仍處高位

　　覆蓋金融、政務等諸多行業

　　結合永安在線此前發布的一、二季度API安全報告可以發現，在2022年的前三個季度，遭受攻擊的API數量平均每月超過20萬個。

　　另外，針對API的攻擊幾乎遍布各個行業，其中金融、政務平臺、游戲行業等依然是攻擊者主要目標。報告指出，由于金融、政務平臺的用戶數據和公民個人隱私數據等信息具有極高的獲利價值，因此長期以來一直是黑產交易中的熱門“商品”，這也刺激著攻擊者不斷對這些行業發動輪番攻擊。游戲行業則是另外一個重災區，依據永安在線蜜罐所捕獲到的攻擊流量數據，Q3存在大量針對游戲平臺注冊、登錄、找回密碼等API接口的攻擊流量，涉及掃號、撞庫、暴破攻擊等。

　　顯然，無論是從API攻擊的整體趨勢，還是對企業以及用戶的影響，都是不容樂觀的。由此不難看出，我國API安全風險的整體態勢依然趨于嚴峻，而隨著數字化進程的不斷推進，這一趨勢恐將仍會延續較長一段時間。

　　業務風險+合規風險

　　API安全問題可致企業遭受沉重后果

　　不可否認的是，隨著近些年國家對于安全的重視程度以及相關法律法規及政策的出臺，大家對于安全的認知較之以往大幅增強，但從全面性角度衡量仍有不足。相比于解決木馬病毒、滲透入侵等風險的基礎安全建設，API架構的安全并未得到足夠的重視，這里我們要強調的是，API安全風險所能帶來的后果同樣不可小覷。

　　首先是業務風險，以營銷作弊、賬號攻擊等場景較為突出。在永安在線本年度所發布的前三季度報告中，營銷作弊是API攻擊中占比最高的場景。營銷作弊會給平臺帶來大量的虛假用戶，短期內似乎“促進”了用戶增長，但這種虛假繁榮會嚴重阻礙平臺及真正用戶的利益，也不利于整個行業的健康發展。

　　以某數字藏品平臺API攻擊為例，攻擊者利用該平臺API接口存在安全缺陷（包括明文傳輸用戶名和密碼等接口參數），偽造相關API接口請求，從而套取活動中的獎勵。下圖為攻擊者偽造注冊接口請求：

　　賬號攻擊是API攻擊的另一突出場景。以某游戲平臺遭規模化API攻擊案例所示，專業攻擊團伙利用掃號、撞庫等行為對平臺API接口發起攻擊，盜取大量用戶賬號，從而竊取用戶在游戲中的虛擬資產，除了給游戲玩家自身造成難以挽回的損失之外，該游戲平臺也將面臨大量的用戶投訴乃至用戶流失等問題，還可能會給后續業務推進、擴張帶來阻力，為企業營收增長和未來發展制造障礙。

　　其次是合規風險。事實上，因API遭攻擊導致數據泄露的事件并不少見，Gartner此前也曾預測，API濫用將成為導致企業Web應用程序數據泄露的最常見攻擊媒介。

　　此次報告最新案例提到，某銀行信用卡在線業務申卡進度查詢，API 接口只需要傳入任意身份證號，不需要經過身份驗證，便可以查詢對應身份人是否有在該銀行辦理信用卡，以及申請時間、狀態、產品等用戶信息。犯罪分子根據這些信息可以包裝出更加“真實”的詐騙場景和話術，實施精準詐騙，受害者往往更容易上當受騙。雖然永安在線指出該案例并未直接泄露用戶手機號，但黑產攻擊其他平臺可以獲取到相關手機號。

　　此前，永安在線曾監測到多起針對數字政務平臺的惡意攻擊事件，攻擊者利用政務平臺注冊、查詢等業務場景存在API邏輯缺陷進行攻擊，從而獲取到平臺用戶身份證、手機號、姓名、地址等個人隱私信息。下圖為某地區新冠疫苗接種信息查詢平臺API泄露信息：

　　通過這些案例可以看出，因API問題導致數據泄露并不少見，隨著我國相關法律法規的日趨完善，對造成數據泄漏的企業及直接負責人的處罰力度也逐漸加強：

　　如2021年9月施行的《數據安全法》中，最高罰款額度高達1000萬元；在2021年11月施行的《個人信息保護法》中，最高罰款額度最高達到了5000萬元或上一年度營業額的5%。需特別強調的是，在2022年9月發布的《關于修改〈中華人民共和國網絡安全法〉的決定（征求意見稿）》顯示，預計將現行《網絡安全法》中最高罰款額度為100萬元的條款，調整為最高罰款額度為5000萬元或上一年度營業額5%，力度與《個人信息保護法》完全一致。此外，可責令企業暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照，對直接負責的主管人員和其他直接責任人員處罰款以及一定期限的從業禁止處罰。

　　但在這些風險背后，我們也應看到，作為數字化時代的重要信息基礎設施之一，API承載著業務邏輯及數據交互的重要作用，因此不能因前文提到的風險而以“一刀切”的方式去繞開它，擺在面前的只有一條路——重視并加強API安全建設，讓其盡可能在安全的狀態下為企業、社會、國家發展創造價值。

　　加強API安全建設需走出誤區

　　提升內部重視程度+引入外部專業工具“兩手抓”

　　安全419迄今已同諸多企業用戶、安全廠商針對API安全話題進行溝通和交流，發現導致API安全建設未能做好的原因很多，其中比較典型的主要體現在以下幾個方面：

　　01 認為傳統的防護手段或設備（如主流的WAF、API網關等）足以應對當前的API安全風險，實際上，傳統的安全防護手段主要以邊界安全為主，在安全能力無法覆蓋到API敏感數據的保護，從而導致API數據泄露和違規訪問的風險依然無法規避。這里以WAF和API網關舉例：

　　● 主流的WAF等產品目前更多的是覆蓋客戶端和服務器之間的南北向流量，而對不同服務器或數據中心之間的東西向流量卻是一個盲區。

　　● API網關雖可以在解決授權及認證方面表現出一定的能力，但并不是所有的API都會在網關注冊，而業務上會存在大量的影子API。同時，它仍然無法做到感知和防御海量虛假號碼及秒撥代理發起的低頻攻擊。

　　因此，傳統的防護手段和設備并非無用，但面對當下的API安全問題顯然捉襟見肘。

　　02 具有僥幸心理，認為攻擊者不會盯上自己。需強調的是，當前大多數網絡攻擊都是有組織的團隊且利用自動化工具發動攻擊，一旦這些工具在網絡中發現了可被利用的漏洞，就會直接發起攻擊。在這種情況下，相信每一個企業都可能是攻擊者眼中的目標。

　　考慮到安全的攻防對抗本質，做安全是沒有終點的，只能是不斷地提升再提升，但“加強”二字說來容易，如何做呢？在我們看來，要著重做到以下“兩手抓”：

　　● 提升對API安全風險的重視程度，將API安全管理納入整體安全建設之中。

　　在我們看來，這一點對企業的API安全建設及提高風險防護能力水平有著決定性作用。從管理者到相關的員工有必要真正意識到API安全風險及其危害性，包括上述的業務風險和合規風險，并將API安全管理體現在企業網絡安全管理制度之中。規避API安全建設誤區（如過高信賴傳統安全措施對當前API風險的防護能力等），杜絕僥幸心理。

　　● 引入專業API安全管理工具，積極以新技術、新思路、新方法應對風險。

　　坦率地說，多數企業都不具備獨自完成較為全面的API安全能力研發和建設，因而快速有效的方式是通過引入成熟的工具、產品或解決方案，用專業力量化解專業問題，用新技術、新思路、新方法應對風險。

　　以業務優先為原則

　　基于情報建立API安全基線應對風險與挑戰

　　為幫助企業用戶更好地應對當前API安全挑戰，永安在線于2021年正式推出了API安全管控平臺，該平臺以頗具創新性的“基于情報建立API安全基線”理念，有效地幫助企業實現對其API資產的全面盤點、預防發現阻斷API攻擊、提升風險事件的響應速度以及防止流動敏感數據泄漏，幫助企業構建可預防、可解釋、可溯源的API安全管理體系。

　　“業務優先、解決可見性、整體可控是做好API安全建設的原則。”永安在線COO邵付東于此前接受安全419采訪時指出，在業務優先的基礎上，企業需要對上線的 API 進行整體地梳理，要務是實現對所有 API 資產的可視，再進行持續的 API 漏洞評估和及時感知 API 攻擊風險，實現 API 風險的可控。

　　首先，在資產梳理方面

　　永安在線API安全管控平臺能夠以持續動態的方式去梳理API資產和API上流動的敏感數據，做到只要有API上線或開始服務就可被快速識別出來，并第一時間將資產信息同步給相關業務或者安全人員。不難看出，該平臺在解決可見性，保證整體可控的同時，真正做到了業務優先。

　　此外，永安在線所獨有的結合外部情報對流量分析能力，可對API識別引擎不斷更新和完善，為更進一步提升API梳理的準確性提供了保障。據介紹，永安在線API安全管控平臺的API資產識別率高達97.8%，敏感數據識別準確率更是達到了98.5%。

　　其次，在風險感知方面

　　通過情報（如攻擊者利用的IP、自動化工具等資源）構建API安全行為基線，可更有效地感知外部API風險，且具有誤判率低、可用性更高的特點。據介紹，目前永安在線API安全管控平臺風險事件預警的精準度平均值可達97.66%。同時，基于情報能力可持續跟蹤攻擊者如何利用在野漏洞來進行攻擊，通過對新型攻擊面和攻擊特征的分析，持續優化API漏洞檢測引擎，全面覆蓋API的邏輯漏洞及開源系統API的未授權漏洞等。

　　值得一提的是，對API風險的感知能力也是今年永安在線著重加強的內容，一是“蜜罐能力”的提升，通過加大全網蜜罐部署點以及優化，在針對API接口的高風險攻擊事件（如敏感數據爬取、低頻撞庫攻擊、營銷賬號攻擊等）捕獲能力上有了極大提升；二是在黑產工具識別能力的提升，通過對惡意代碼分析引擎的優化，不僅可以識別更多類型的黑產工具，還可自動化提取被攻擊的API接口和攻擊特征，從而大幅提升了風險感知效率。

　　最后，在威脅處置方面

　　該平臺同樣有著出色表現，重點體現在兩方面：一是在響應處置方面，基于精準預警輸出的攻擊者IOC情報，平臺可在第一時間聯動WAF或風控系統等設備予以快速處置，進而將針對API的攻擊徹底阻斷；二是針對已泄露數據的溯源方面，該平臺可針對泄漏數據進行溯源分析，可精確定位到關聯數據訪問的賬號、API、IP等，追蹤數據泄漏源頭，為企業進行下一步處置提供可靠依據。

　　在實際應用方面，永安在線API安全管控平臺目前已廣泛落地于包括金融、互聯網、醫療、教育、制造等諸多行業和領域，解決問題的能力和水平也廣受認可，表現值得肯定。

　　正如永安在線在報告中所指出的，API 作為應用程序之間、應用與用戶之間交互的橋梁，承載著企業的業務邏輯和大量敏感數據，在數字時代呈爆發式增長，圍繞 API 安全的探索必定是當下不可回避的話題。總體來看，盡管API安全風險所能造成的后果可能會極為嚴重，且API安全管理當前也面臨諸多的痛點、難點，但對于廣大的政企用戶而言并非缺乏對策，一是要從自身內部入手，對API安全風險建立正確認知，這是能夠建立起有效API安全防護能力的必要前提；二是要借鑒國內同行及安全企業的最佳實踐，通過引入專業的API管理工具、產品或解決方案，快速建立起真正有效的API安全防線。同時也希望包括以永安在線為代表的安全企業們，能夠始終堅持創新，不斷推陳出新，助力企業用戶構建完善的 API 安全防護體系，為其業務數字化轉型保駕護航。

更多信息可以來這里獲取==>>電子技術應用-AET<<