01 OWASP 2023 API Security Top 10?

伴隨企業(yè)數(shù)字化程度的加深，API被廣泛的使用。統(tǒng)計數(shù)據(jù)顯示，API請求已經(jīng)占據(jù)了所有應(yīng)用請求的80%，預(yù)計2024年API請求將達(dá)到40萬億次。與此同時，API安全變得越來越重要。大量關(guān)鍵和敏感的信息通過API在各種應(yīng)用、系統(tǒng)、設(shè)備之間傳遞。不安全的API很容易成為黑客所攻擊的目標(biāo)。?

OWASP為強調(diào)API安全的重要性，在2019年首次提出了API Security Top 10。后隨著安全產(chǎn)業(yè)實踐加深，于2023年6月5日，又正式發(fā)布了2023年API Security Top 10。相比2019年的舊版本，新版本強調(diào)了API攻擊場景與WEB攻擊的差異化，對API身份認(rèn)證和授權(quán)的管理進(jìn)行了重點突出，自動化威脅防護(hù)缺失和API供應(yīng)鏈的安全風(fēng)險等也被首次加入到了清單。

?

下圖是2019年版本與2023年版本的區(qū)別：

?

▲?OWASP API Security Top 10清單調(diào)整圖示

?

02 安天WEB應(yīng)用防護(hù)系統(tǒng)提供持續(xù)性API安全解決方案

安天WEB應(yīng)用防護(hù)系統(tǒng)以持續(xù)性API安全防護(hù)為核心理念，為企業(yè)提供全面的API安全解決方案，可靠地防御OWASP 2023 API Security Top 10中所描述的安全風(fēng)險。

產(chǎn)品提供的API安全解決方案由六大組件所組成：API自發(fā)現(xiàn)、訪問管控、安全防護(hù)、風(fēng)險評估、健康監(jiān)測和流量審計。六大組件涵蓋API安全的整個生命周期，互補聯(lián)動、循環(huán)迭代，為用戶持續(xù)性的提供API安全防護(hù)能力。

?

▲?持續(xù)性API安全解決方案

?

1．API自發(fā)現(xiàn)

安天WEB應(yīng)用防護(hù)系統(tǒng)的API自發(fā)現(xiàn)旨在識別、發(fā)現(xiàn)網(wǎng)站對外暴露的API接口，學(xué)習(xí)其采用的認(rèn)證方式、數(shù)據(jù)類型、訪問規(guī)范、調(diào)用關(guān)系等關(guān)鍵信息，為后續(xù)進(jìn)一步的安全防護(hù)提供基礎(chǔ)和依據(jù)。具體API自發(fā)現(xiàn)包括識別、學(xué)習(xí)、畫像、防護(hù)輸出四個階段。

▲?API自發(fā)現(xiàn)四個階段圖示

?

API識別階段結(jié)合用戶跟蹤技術(shù)，對WEB流量進(jìn)行綜合分析，識別提取出具有API行為特征的HTTP訪問，梳理出網(wǎng)站對外提供的API服務(wù)。API學(xué)習(xí)階段通過對API調(diào)用進(jìn)行深入分析，確定API的數(shù)據(jù)格式、請求/響應(yīng)方式、操作類型、涉及參數(shù)、驗證方式等，學(xué)習(xí)API的行為模式和使用方法，如頻率、參數(shù)值范圍、有效性以及API間的依賴關(guān)系，理解API的功能和邏輯。?

基于對API的分析和學(xué)習(xí)結(jié)果，生成API畫像，全面系統(tǒng)地描述API的結(jié)構(gòu)、特征和安全需求等重要信息。API畫像為后續(xù)的安全防護(hù)功能提供防護(hù)依據(jù)。?

借助API畫像，能夠為API安全防護(hù)功能生成相應(yīng)的防護(hù)規(guī)則。例如，可以為OpenAPI防護(hù)功能生成符合API的OpenAPI防護(hù)規(guī)范。?

API資產(chǎn)管理可以防范OWASP 2023 API Security Top 10中的“API9-庫存管理不當(dāng)”的風(fēng)險，管理未下線的老版本API或者調(diào)試的API等，防止暴露風(fēng)險。

?

2．API訪問管控

全面的API管控手段：提供豐富多樣的API管控手段，支持根據(jù)地域、來源IP、訪問頻度、用戶身份、API對象等多種條件的組合，形成靈活的API訪問管控策略，能夠根據(jù)實際需求，靈活定制管控規(guī)則。?

基于用戶身份的API訪問管控：基于用戶身份的API訪問管控機(jī)制能夠有效防止未經(jīng)授權(quán)或越權(quán)的API訪問，并防范API的濫用行為。通過身份驗證和授權(quán)機(jī)制，確保只有經(jīng)過授權(quán)的用戶可以訪問API，保障API的安全性和合規(guī)性。?

API令牌安全保護(hù)：使用加密和重放保護(hù)技術(shù)，保證在API訪問過程中的API認(rèn)證令牌的安全性，防止惡意方對API令牌進(jìn)行竊取或篡改，保障API訪問過程的完整性和可信度。?

實時權(quán)限狀態(tài)監(jiān)控：實時監(jiān)控API用戶的權(quán)限狀態(tài)，及時感知API用戶權(quán)限狀態(tài)的異常變化，有效防范針對API的水平或垂直提權(quán)攻擊。?

從OWASP 2023 API Security Top 10風(fēng)險列表來看，有4項排名靠前的授權(quán)相關(guān)風(fēng)險項：

◆ API1-對象級別授權(quán)失效（Object Level）

◆ API2-身份認(rèn)證失效

◆ API3-對象屬性級別授權(quán)失效（Object Property Level）

◆ API5-功能級別授權(quán)失效（Function Level）

?

安天WEB應(yīng)用防護(hù)系統(tǒng)基于用戶身份的API訪問管控通過用戶認(rèn)證跟蹤、權(quán)限狀態(tài)變化監(jiān)控、認(rèn)證令牌安全增強可以有效緩解OWASP 2023 API Security Top 10中授權(quán)相關(guān)風(fēng)險。

?

3．API安全防護(hù)

安天WEB應(yīng)用防護(hù)系統(tǒng)提供多種全方位的防護(hù)手段，包括DDoS防護(hù)、反自動化工具、WEB應(yīng)用攻擊檢測、JSON/XML數(shù)據(jù)規(guī)范、OpenAPI合規(guī)、API數(shù)據(jù)脫敏等。這些手段相互協(xié)作，形成立體、綜合的API防護(hù)方案。?

API安全防護(hù)組件與API自發(fā)現(xiàn)和API風(fēng)險評估組件緊密聯(lián)動。首先，API安全防護(hù)組件從API自發(fā)現(xiàn)組件自動獲取并建立API防護(hù)策略，實現(xiàn)API的主動防御。其次，API安全防護(hù)組件將其檢測結(jié)果輸出給API風(fēng)險評估組件，供其進(jìn)行進(jìn)一步的風(fēng)險評估。?

通過上述API安全防護(hù)機(jī)制和流程，能夠?qū)PI的安全狀況與風(fēng)險評估相結(jié)合，形成更全面、準(zhǔn)確的安全防護(hù)策略。?

對于“API7-服務(wù)器端請求偽造（SSRF）”項目，特征檢測功能包含觸發(fā)SSRF攻擊所需的遠(yuǎn)程資源訪問協(xié)議特征，可以有效地進(jìn)行防護(hù)。?

針對“API6-訪問敏感業(yè)務(wù)流無限制”項目，通過學(xué)習(xí)并限制API的訪問頻度來實施防御。?

API安全防護(hù)的防范弱口令、暴力登錄防護(hù)功能，可有效緩解“API2-身份認(rèn)證失效”威脅。

?

4．API風(fēng)險評估

安天WEB應(yīng)用防護(hù)系統(tǒng)的API評估組件綜合API風(fēng)險評估模型、API異常行為感知引擎、API通用安全綜合分析子系統(tǒng)對API操作進(jìn)行風(fēng)險評估，進(jìn)行威脅評分。?

內(nèi)置20多種業(yè)務(wù)API風(fēng)險模型，模型覆蓋廣泛的業(yè)務(wù)威脅場景，如注冊、登錄、下單異常檢測模型，能夠及時、有效地感知高層業(yè)務(wù)API威脅。?

API異常行為感知引擎通過關(guān)聯(lián)用戶API訪問上下文，基于業(yè)務(wù)行為邏輯描述語言（BHDL)，檢測異常的API訪問行為。?

API通用安全綜合分析子系統(tǒng)通過分析WEB安全檢測功能的輸出結(jié)果，對API訪問從WEB通用安全的維度進(jìn)行風(fēng)險評估。?

API風(fēng)險評估組件對于不安全使用的API會給予較高的威脅評分，通過威脅評分維度可以高亮出具有“API10-API的不安全使用”風(fēng)險的API。?

在一個保險客戶的案例中，API文檔異常下載風(fēng)險模型感知到某一用戶在較短的時間內(nèi)下載了大量的文檔性文件，風(fēng)險模型對于該用戶的文檔下載API操作進(jìn)行了威脅評分，評分并隨著下載文件增多而迅速增加。管理員及時發(fā)現(xiàn)了該類威脅異常，通過進(jìn)一步對相關(guān)用戶API流量進(jìn)行調(diào)查，發(fā)現(xiàn)該用戶下載了大量的不屬于自身賬戶的保單。通過對相關(guān)API調(diào)用數(shù)據(jù)的進(jìn)一步分析，發(fā)現(xiàn)該用戶通過篡改對象ID達(dá)到了越權(quán)的目的。

?

▲?系統(tǒng)威脅評分示意圖

5．API健康監(jiān)測

API健康監(jiān)測對API的可用性、性能和穩(wěn)定性進(jìn)行不間斷實時監(jiān)測和評估。安天WEB應(yīng)用防護(hù)系統(tǒng)通過對API進(jìn)行健康監(jiān)測，可以及時發(fā)現(xiàn)API存在的潛在問題和異常，使得管理員可以及時采取相應(yīng)措施來保證API的正常運行以提供穩(wěn)定的服務(wù)。產(chǎn)品分別從API可用性、延時、錯誤率等多個方面進(jìn)行API健康監(jiān)測。?

API健康監(jiān)測定期發(fā)送API請求來探測API的可用性，驗證其連接和服務(wù)的可達(dá)性，確保API能夠正常地接收和響應(yīng)請求。當(dāng)監(jiān)測到API不可用時，監(jiān)測系統(tǒng)會第一時間向管理員發(fā)出告警。?

通過測量API請求的響應(yīng)時間，評估API的性能和響應(yīng)速度，分析統(tǒng)計API請求的平均延遲、最大延遲和最小延遲，生成相應(yīng)的延時指標(biāo)和報告。?

通過跟蹤每個API請求的狀態(tài)碼和錯誤信息，統(tǒng)計API調(diào)用的錯誤率，以評估API的穩(wěn)定性和錯誤處理能力，及時發(fā)現(xiàn)異常錯誤率的API，并針對性地解決問題，以提高API的可靠性和穩(wěn)定性。?

對于“API4-資源消耗無限制”的API往往在性能和穩(wěn)定性上會有表現(xiàn)，API健康監(jiān)測通過API健康指標(biāo)可以發(fā)現(xiàn)存在的API性能問題。

?

6．API流量審計

在API安全領(lǐng)域，API審計扮演著至關(guān)重要的角色。安天WEB應(yīng)用防護(hù)系統(tǒng)借助API識別和用戶點擊流還原技術(shù)，能夠精確提取用戶與API相關(guān)的操作，并結(jié)合API當(dāng)前用戶、威脅評分、客戶端類型、API業(yè)務(wù)類別等API安全上下文信息，詳細(xì)記錄API的訪問情況。?

通過可視化交互界面，管理員可以便捷地進(jìn)行API安全事件的縱深調(diào)查和分析。管理員可以從來源客戶端、用戶、API威脅等多個維度展開對API安全事件的調(diào)查，深入了解API的調(diào)用上下文。這有助于管理員輕松發(fā)現(xiàn)API潛在的安全威脅和攻擊行為，并具備發(fā)現(xiàn)API相關(guān)零日漏洞的能力。?

當(dāng)網(wǎng)站面臨“API8-安全配置錯誤”問題時，網(wǎng)站會出現(xiàn)大量的非預(yù)期訪問，通過流量審計的業(yè)務(wù)分析維度結(jié)合API用戶身份可以識別該類非預(yù)期流量，從而揭示網(wǎng)站存在API安全配置錯誤問題。

03結(jié)語?

安天WEB應(yīng)用防護(hù)系統(tǒng)通過一系列的API安全防護(hù)流程，包括發(fā)現(xiàn)、管控、防護(hù)、評估、監(jiān)測和審計，覆蓋了企業(yè)API涉及的各個安全環(huán)節(jié)。

我們的理念是持續(xù)性的API安全防護(hù)，旨在全面抵御OWASP 2023 API Security Top 10中涉及的各類API安全威脅，為客戶的API安全提供可靠的防護(hù)。