API 成長伴隨著攻擊
弭合舊制網路安全留下的漏洞
現代 API:易於使用、難以保障安全
API(「應用程式程式設計介面」的簡稱)是許多現代 Web 應用程式的建置基礎。更精確而言,它們連線伺服器、端點和軟體的方式,使得系統在僅僅數毫秒內即可執行任何數量的功能,從同步行動資料到雲端,再到啟用免程式碼的應用程式開發等。
隨著任何事物都能連線至網際網路,API 使用情形變得越來越廣泛,目標對攻擊者的吸引力就越大。此外,API 攻擊似乎已達到全新高度;最近的調查指出, 53% 的受訪者曾因為 API 權杖遭到入侵而遭遇資料外洩。
這種激增現象更凸顯了傳統網路安全做法與解決方案之間的重大差異。隨著組織逐漸轉向更現代的網路安全部署,他們在保護 API 的同時,也必須因應三個重大挑戰:
難以在多個雲端環境中保護 API 服務的安全。
API 開發與網路安全無法齊頭並進。
舊式網路安全服務的設計並未將 API 保護列入考量。
為了解決這些差異,現代化的 API 網路安全解決方案必須提供可擴展、自動化的 API 威脅防禦,讓網路安全與工程設計部門能夠在零時差漏洞利用與訂製化攻擊之前搶得先機。Web 應用程式和 API 保護 (WAAP) 應運而生:網路安全服務的專屬平台,其專門設計用於管理和保護 API,使其免於遭受複雜且新興的威脅侵害。
API 攻擊的代價
就像 API 本身一樣,API 攻擊的規模與精密度正在快速提升,而補救這些攻擊的代價也在提高。
在美國證券交易委員會的一份報告中,T-Mobile 揭露了因為 API 遭到公開而造成的大量資料外洩。在兩個月間,攻擊者就獲取了 3,700 萬客戶帳戶的個人資料存取權,包括帳單資訊、電子郵件地址和電話號碼。
在更大規模方面,因為某個未修補的 API 漏洞讓使用者能夠存取關聯的電子郵件地址和電話號碼,使得 Twitter 成為攻擊目標。該錯誤有長達七個月的時間未被發現;而被發現時,攻擊者已經將屬於 2.35 億名使用者的帳戶資訊公諸於世。
相較於這些大型企業公司,即使對於為較小規模使用者提供服務的組織而言,API 漏洞也可能會使門戶洞開而容易遭受毀滅性的攻擊。如果敏感的使用者資料外流,可能會無法改變地損壞品牌商譽和客戶信任、允許其中的橫向移動,或是導致嚴重財務損失和長久的法律影響。
組織究竟要為此付出多少代價?一項估計顯示,API 不安全(由於 API 錯誤或漏洞漏洞而導致的外洩事件)每年造成的損失約為 410 億至 750 億美元。
保護 API 的 3 項挑戰
在超前攻擊者、搶得先機保護 API 的競賽中,組織面臨三項主要挑戰:
API 服務難以在混合式和多雲端環境間獲得保護。一般大型的組織有數百種已知的 API,而且經常是在多個雲端或混合式環境中進行維護。這種不連貫的部署,使得保護和監管 API 的程序複雜度呈指數級增長,同時也正消耗擴展所需的珍貴內部資源。在一份報告中,有 78% 的受訪者表示,他們在網路間管理超過 250 種不同的 API 權杖、金鑰和憑證,而隨著其 API 使用情形日漸增加,在多種環境間維護手動網路安全流程的負擔可能會導致無意的疏忽。
API 開發與網路安全無法齊頭並進。工程師與開發人員不停地在建立和發佈 API,但通常不會與網路安全部門交流工作內容以尋求防護。API 開發的快速增加後,幾乎變得無法在出貨之前偵測和修補所有漏洞,迫使網路安全部門在後方苦苦追趕。
傳統網路安全服務的建置並未將 API 保護列入考量。API 攻擊(從資料外流到授權與驗證利用)經常要依賴對特定 API 功能與潛在漏洞的深度脈絡化理解。雖然現有的工具集(包括 Web 應用程式防火牆、機器人管理、DDoS 緩解等)持續擴增其功能來避免 API 遭到常見攻擊侵害,但這些工具集的設計並不適用於 API 威脅的專屬性質,也無法提供所需的細項控制種類來大規模記錄、分析和保護 API。
運用 WAAP 解決這些挑戰
攻擊者針對特定 API 漏洞來量身定製攻擊手法,使得組織必須打造專屬的威脅防禦;包括對 API 行為與風險的深度瞭解,同時讓工程設計與網路安全部門簡化作業。
越來越多的現代 API 安全解決方案尋求雲端式網路安全堆疊(Gartner 稱為「Web 應用程式和 API 保護(WAAP)」)的保護。常見的 WAAP 解決方案包括以下核心功能:
新一代 Web 應用程式防火牆(NGFW),能夠篩選不需要的流量、防止零時差利用,並強制實施網路安全原則。
分散式阻斷服務 (DDoS) 防護可同時緩解巨流量攻擊和長期攻擊。
機器人管理會運用指紋辨識、啟發學習法和機器學習來封鎖惡意傀儡程式行為。
API 保護可對 API 流量進行分析、分類和自訂控制項,同時提供健全的用戶端保護來避免 JavaScript 遭到利用。
WAAP 解決方案的主要優勢之一,就是它能夠讓組織更深入瞭解和控制其 API。API 探索��功能可讓網路安全部門探索、編目和監控 API 端點,API 濫用偵測則會運用進階的異常偵測功能來追蹤和分析惡意流量模式,並封鎖巨流量攻擊。
除了強化 API 防禦來防止複雜和持續的攻擊之外,WAAP 也有助於在多個雲端環境間保護 API。集中的 API 目錄有助於讓組織建立 API 基準線,以便網路安全部門從中套用一致的原則,而且仍然能夠一窺其中的情況。
WAAP 的「領導者」
在 Gartner 最近的 WAAP 廠商評估中,Cloudflare 獲選為 Web 應用程式和 API 安全的「領導者」。
憑藉分佈超過 330 個地點的全球網路,以及平均每秒處理超過 4,500 萬個 HTTP 要求,Cloudflare 對於網路模式、攻擊手段和 API 流量有獨特的深入解析。這種深入解析程度有助於擴展和強化一套整合的網路安全服務,包括 API 探索功能、API 管理與分析,以及分層式 API 防禦,以監控流量中是否有異常行為,並緩解巨流量 DDoS 攻擊、惡意傀儡程式活動等等。
Cloudflare 的 WAAP 產品組合能夠在網路安全方面減輕手動設定和維護的負擔。Cloudflare 安全中心提供集中的位置讓組織追蹤、調查和緩解其 API 整體情況中的威脅,而且不會有額外部署或擴充問題。
Cloudflare 就影響當今技術決策者的最新趨勢和�主題發表了一系列文章,本文為其一。
深入探討這個主題。
取得 Gartner® Web 應用程式及 API 保護 (WAAP) Magic Quadrant™,瞭解 Cloudflare 為何獲得「領導者」稱號!
重點
閱讀本文後,您將能夠瞭解:
API 為何仍然是攻擊者的頭號目標
53% 的組織如何因為 API 權杖遭到入侵而發生資料外洩
API 安全的 3 項挑戰
WAAP 如何因應 API 擔憂