深圳网站空间-云服务是什么意思-Bot自动化攻击已成为API的主要威胁

API是衔接现代运用程序的柱石,越来越多的企业意识到API的重要性,其数量迎来爆发式增加,但API面临的安全要挟却比API调用增加更加迅猛。Salt Security于本年2月发布的报告显现,2022年有91%的公司存在与API相关的安全问题,80%的安排以为他们的安全东西不能有用地避免API进犯。
为了着重API安全的重要性,OWASP在2019年初次提出了API Security Top 10,并于2023年发布了API Security Top 10的内容更新。此次更新内容专门增加了“API缺少对自动化要挟的防护”内容,这说明在实际运用中,许多企业API缺少对自动化进犯的防护措施。
Cequence Security在最新发布的2022年度API安全报告中也指出,API已成为首要进犯前言,而自动化进犯则是API安全的首要要挟。
事实上,跟着人工智能、机器学习等技能的发展,Bot自动化进犯手法变得越来越遍及和杂乱。Bot自动化进犯能够快速、精确地扫描API缝隙或对API建议进犯,对系统形成严重要挟。
那么,究竟什么是针对API的Bot自动化进犯?这种进犯是怎么发生的,以及为什么会变得越来越遍及?
什么是针对API的Bot自动化进犯?
所谓Bot,是Robot(机器人)的简称,一般指无形的虚拟机器人,也能够看作是自动完成某项使命的智能软件。它能够经过东西脚本、爬虫程序或模拟器等非人工手动操作,深圳网站空间在互联网上对 Web网站、APP运用、API接口进行自动化程序的拜访。
Bot自动化进犯 (Bot Attack),是指经过东西或许脚本等程序,对运用系统进行的进犯或探测,它不仅仅是一种自动化的运用缝隙运用的进犯行为,更多是运用事务逻辑缝隙的要挟行为,乃至是模拟合法事务操作,逃避现有安全防护手法的自动化要挟行为。
因而,进犯者能够经过完全合法有用的API调用实现Bot自动化进犯,操作、诈骗或破坏API,以到达获取中心系统权限、窃取灵敏信息、植入歹意软件、建议DoS进犯等意图。
当运用这些Bot自动化程序专门进犯API时,或许当进犯者运用Bot来增加API进犯的规模、影响和杂乱性时,这便是针对API的Bot自动化进犯。
为什么这类进犯越来越多?
多年来Bot自动化程序一向被用于网络进犯,但是为什么当它被用于API进犯时会引起如此高的关注呢?这是由于API的广泛运用和链接为歹意进犯者供给了宽广的进犯面,一旦成功进犯API,就能获取很多企业中心事务逻辑和灵敏数据。
API更简略被进犯
云服务是什么意思,与针对Web运用程序的Bot自动化进犯比较,针对API的Bot自动化进犯更简略且更具成本效益。
API的维护程度一般不及网站和移动运用程序。有业内人士以为,如今的API安全性就好像运用程序安全性在2009年的发展水平。一旦进犯者分解了一个Web运用程序并弄清楚了它的通讯方法,他们就能够能够运用和Web API相同根底结构的进犯机制。
一起,进犯者能够随时租借价格低廉的Bot、僵尸网络等进犯东西,不需要太多资源或深厚的技能知识就能够建议针对API的Bot自动化进犯。
而API更加匿名,API恳求不经过浏览器或原生运用程序代理的传统途径,它们充当能够拜访资源和功用的直接管道,这使得API成为进犯者有利可图的目标。
影子API、僵尸API
影子API是目前API安全中最为杰出的问题,由于API的运用率激增,企业往往无法悉数盯梢办理,因而一些API无法及时进行维护更新,就会成为被进犯者揭露运用的缝隙。
与影子API类似,僵尸API对安排来说也是一个巨大的安全危险,一般指的是旧的、很少运用的API版别。由于僵尸API很少得到安全团队的留意,所以也给了犯罪分子歹意运用的可乘之机。
根据Cequence Security最新发布的2022年度API安全报告显现,2022年影子API激增900%,近七成(68%)的受访企业暴露了影子API,凸显了API可见性的缺少。仅在2022年下半年,就有约450亿次搜索影子API的测验,比2022年上半年的50亿次测验增加了900%。
当进犯者运用Bot自动化东西来映射企业的IT架构,并窥视影子API、僵尸API时,整个进犯过程会变得更加快速、简略和灵敏。
API事务逻辑缺点
开发人员倾向于运用通用规矩集,并将API保存为默认装备,而不考虑事务逻辑,这会发生事务逻辑缺点。
即使提前经过安全规划审查防备API事务逻辑缺点,跟着API承载的逻辑越来越杂乱,API不可避免的存在着能够被运用的Bug或逻辑缺点,并且每一个 API 都不同,发生的缝隙逻辑也是绝无仅有。
许多扫描东西都依赖于已知规矩和行为辨认危险,这种方法很难检测或阻挠进犯者运用每个API中独特的事务逻辑缺点来进行的进犯。运用Bot自动化东西,进犯者能够根据这些缝隙形成严重破坏,一起经过看似合法的API恳求逃避检测。
Bot自动化程序大幅提高进犯效率
比较人工,Bot自动化程序有着难以对抗的速度。进犯者能够运用Bot自动化程序,在未经身份验证的状况下向端点发送很多API恳求,暴力破解并快速填充凭证,在短时间内搜集很多数据。
Bot自动化进犯还能够被进犯者用来涣散安全团队的留意力。例如,进犯者可能会运用僵尸网络触发数千个安全警报,以误导安全团队跟进。
Bot自动化进犯更加荫蔽
API具有开放性的特点,进犯者能够和正常用户一样来调用API,导致进犯者的流量隐藏在正常用户的流量里边,其进犯行为会更加荫蔽、更难发现。
事实上,Bot自动化东西被用于API进犯,也是由于它非常荫蔽且能避免被高级的安全东西检测到。进犯者往往会运用很多的、低成本的Bot自动化东西,伪装成正常的恳求流量,绕过传统安全策略对灵敏数据进行低频慢速的爬取。这些Bot自动化程序能够在没有人干预的状况下,根据编程规矩和时间推移学习,随时随地做出决策。
传统安全计划失效
当运用Bot经过合法帐户进行API进犯时,传统WAF和API网关安全计划却日益疲软。
此类进犯多以合法身份登录、模拟正常操作、以多源低频恳求为主,而传统WAF安全首要根据进犯特征与行为规矩实行被动式防护,在和真人操作简直无异的Bot进犯行为面前已逐步失效;同样,供给身份认证、权限管控、速率限制、恳求内容校验等安全机制的传统API网关,在遇到此类状况时简直无用武之地。
一起,传统WAF和API网关安全计划的布置与维护成本过高,这些计划并不是专门为维护API规划的,在阻挠API的Bot自动化进犯方面效果更差。
怎么维护API免受Bot自动化进犯?
毫无疑问,2023年歹意Bot、高级Bot自动化要挟东西将安身效率高、影响力大,防护薄弱API的发展趋势将更加明显。
瑞数信息以为,以下4种方法能够有用维护API免受Bot自动化进犯:
API资产办理
引进API资产办理,借用API安全东西经过对拜访流量进行剖析,自动发现流量中的API接口,对API接口进行自动辨认、梳理和分组。一起,从API网关上获取API注册数据,与API资产进行对比,然后发现未知API接口。
API进犯防护
综合运用AI、大数据、要挟情报等技能,持续监控并剖析流量行为,有用检测要挟进犯,对API安全进犯进行实时防护。一起,对API恳求参数进行合规管控,对不符合规范的恳求参数实时管控。
灵敏数据管控
对API传输中的灵敏数据进行辨认和过滤,并对灵敏数据进行脱敏或许实时阻拦,躲避数据安全危险。
拜访行为管控
树立多维度拜访基线和API要挟建模,对API接口的拜访行为进行监控和剖析。一方面,监控基线违背状况,针对高频状况等进行防护,避免高频状况等形成的API功能瓶颈;另一方面,高效辨认异常拜访行为,避免歹意拜访形成的事务损失。一起,从API网关上获取API认证和鉴权数据,避免未授权的API调用,保障API接口只能被合法用户拜访。
目前,国内针对API防护已经有了完善的立异安全计划。瑞数信息作为我国动态安全技能的立异者和Bots自动化进犯防护领域的专业厂商,推出的“瑞数API安全管控渠道”覆盖了API安全防护办理全生命周期,能够有用应对包含Bot自动化进犯在内的API安全要挟。
“瑞数API安全管控渠道”作为国内第一批经过我国信通院“云原生API安全才能”评估的API安全产品,已广泛运用于金融、快消、零售、运营商、动力等多个行业,为企业实现API安全管控和数据安全供给有力支撑。

共有 0 条评论

发表评论

邮箱地址不会被公开。 必填项已用*标注