首頁 > 關(guān)于我們 > 安恒動態(tài) > 2023 > 正文

使用零信任理念來緩解OWASP API安全性威脅

閱讀量：次 文章來源：安恒信息

API形式與安全趨勢

伴隨著全球數(shù)字經(jīng)濟的浪潮，API已然成為企業(yè)數(shù)字化轉(zhuǎn)型中連接萬物的”鑰匙”，可預(yù)見API數(shù)量將爆炸式增長。與此同時，API攻擊也越來越高頻出現(xiàn)，對任何一家企業(yè)來說又需關(guān)注一項新的安全工程。OWASP為強調(diào)API安全的重要性，在2019年首次提出了API Security Top 10。后隨著安全產(chǎn)業(yè)實踐加深，于2023年發(fā)布了API Security Top 10（候選版）的內(nèi)容更新。該更新內(nèi)容進一步強調(diào)了API攻擊場景與Web攻擊的差異化，突出API權(quán)限管理、資產(chǎn)管理、業(yè)務(wù)風(fēng)控及供應(yīng)鏈問題。

主要變化如下圖所示：

新舊版本對比分析

新增的風(fēng)險

OWASP API Top 10 2023 新增了對敏感業(yè)務(wù)無限制訪問、服務(wù)器端請求偽造 (SSRF) 和 API 的不安全使用三類。

敏感業(yè)務(wù)訪問無限制（Unrestricted Access to Sensitive Business Flows）在 OWASP API 2023 年 10 強榜單中排名第 6，缺乏 API 完整的業(yè)務(wù)視圖往往會導(dǎo)致此問題的存在。

服務(wù)端請求偽造（SSRF）登上了最新的 OWASP Top 10 Web 應(yīng)用程序漏洞榜單，今年也進入了 API Top 10 榜單。SSRF 在 2023 API 前 10 名榜單中排名第 7。SSRF 之所以能上榜，主要是由于這些年來SSRF 攻擊的顯著增加，在現(xiàn)代 IT 架構(gòu)中，越來越多的容器化組件使用 API 通過可預(yù)測的路徑進行通信。開發(fā)人員還傾向于根據(jù)用戶輸入訪問外部資源，例如基于 URL 的文件獲取、自定義單點登錄 (SSO)、URL 預(yù)覽等。雖然這些功能增強了應(yīng)用程序的功能，同樣也使利用 SSRF 漏洞變得更加常見。

API 的不安全使用（Unsafe Consumption of APIs）是2023 年榜單中的第三個新成員，排名第 10。與用戶輸入相比，開發(fā)人員更傾向于信任從第三方 API 接收的數(shù)據(jù)，而當(dāng)依賴的第三方的API存在風(fēng)險時將被攻擊者利用。

更新的風(fēng)險

用戶身份認證失?。˙roken User Authentication ）修改為身份認證失敗（Broken Authentication），并且在 OWASP 2023 年 API 前十名列表中仍保持第二名的位置。

損壞的對象屬性級別授權(quán)（ Broken Object Property Level Authorization），在最新列表中排名第 3，結(jié)合了數(shù)據(jù)過度暴露 (API03:2019)和批量分配 (API06:2019)。這兩個漏洞都強調(diào)需要正確保護 API參數(shù) ，以防止威脅參與者未經(jīng)授權(quán)的訪問和利用。

資源訪問無限制（Lack of Resources and Rate Limiting ）已重命名為資源消耗無限制（Unrestricted Resource Consumption）。以前，重點只放在漏洞上，但現(xiàn)在資源消耗無限制還強調(diào)了沒有適當(dāng)?shù)乃俾氏拗坪推渌Y源使用限制的后果。

刪除的風(fēng)險

日志和監(jiān)控不足（Insufficient Logging and Monitoring and Injections）和注入（Injection）?已從 OWASP API Top 10 2023 列表中刪除。

零信任賦能API安全防護

以0代碼改造設(shè)計交付用戶輕量級的Agent，將API業(yè)務(wù)請求流量轉(zhuǎn)發(fā)至零信任API網(wǎng)關(guān)，通過流量中攜帶的身份令牌，確保每一次請求都是被鑒權(quán)的，確保調(diào)用是安全可靠的，且可實現(xiàn)調(diào)用中的數(shù)據(jù)動態(tài)脫敏。通過高性能/高可用架構(gòu)設(shè)計，配合零信任各個核心服務(wù)組件/容器設(shè)計了異常狀態(tài)發(fā)現(xiàn)、主動巡檢等功能，通過Bypass、主備故障切換等業(yè)務(wù)設(shè)計，保障了業(yè)務(wù)延續(xù)性。

對于數(shù)據(jù)擁有方在開展API業(yè)務(wù)共享開放場景，在API業(yè)務(wù)互聯(lián)網(wǎng)暴露面治理、Oday/NDay漏洞攻擊、調(diào)用身份動態(tài)鑒權(quán)、數(shù)據(jù)分類分級管理、敏感數(shù)據(jù)識別、動態(tài)脫敏性能等多個安全技術(shù)細分領(lǐng)域都有非常好的技術(shù)創(chuàng)新和實戰(zhàn)化價值。

零信任API網(wǎng)關(guān)對于API安全風(fēng)險帶來加強

身份認證失效

(Broken Authentication)

從對用戶本身的認證，將范圍擴展到“人機”身份保護范圍，為每一個主機調(diào)用設(shè)備提供一種加密的、可校驗唯一性的數(shù)字身份憑證；

對象屬性級別授權(quán)失效

(Broken Object Property Level Authorization)

通過檢查入?yún)?出參以及返回響應(yīng)體，對于數(shù)據(jù)級的安全控制，保護數(shù)據(jù)泄露的風(fēng)險；

資源消耗無限制

(Unrestricted Resource Consumption)

在所有傳入?yún)?shù)和有效載荷上定義并強制執(zhí)行數(shù)據(jù)的最大大小，對客戶端在定義的時間范圍內(nèi)與API交互的頻率進行限制（速率限制）。限制/限制單個API客戶端/用戶可以執(zhí)行單個操作的次數(shù)或頻率；

不受限訪問敏感業(yè)務(wù)

（?Unrestricted Access to Sensitive Business Flows）

檢測出入?yún)?shù)調(diào)用字段、有效識別敏感字段，提供動態(tài)脫敏、數(shù)據(jù)加密等多項能力保障敏感數(shù)據(jù)不帶走的安全目標(biāo)；

服務(wù)端請求偽造

(Server Side Request Forgery)

對API調(diào)用的應(yīng)用身份進行識別以及權(quán)限的核查管控，確保身份/權(quán)限合一，根據(jù)隨請求上報的風(fēng)險及歷史行為識別可疑操作；

缺少對自動化威脅的防護

(Lack Of Protection From Automated Threats)

提供 DDoS攻擊、重放攻擊、SQL注入攻擊、爬蟲拖庫攻擊等通用常規(guī)攻擊防御能力；

存量資產(chǎn)管理不當(dāng)

(Improper Assets Management)

根據(jù)應(yīng)用令牌指紋、時間、頻率、行為等維度的策略限制合法用戶的附加訪問條件，可自動檢測僵尸資產(chǎn)或者長期靜默資產(chǎn)提供主動預(yù)警，并且通過零信任獨有的SPA技術(shù)，來實現(xiàn)資產(chǎn)TCP連接的默認拒絕（只授權(quán)合法主機的業(yè)務(wù)請求設(shè)備）；

關(guān)閉

數(shù)據(jù)安全

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場>

工業(yè)互聯(lián)網(wǎng)安全>