使用零信任理念來緩解OWASP API安全性威脅
API形式與安全趨勢
伴隨著全球數(shù)字經(jīng)濟的浪潮,API已然成為企業(yè)數(shù)字化轉(zhuǎn)型中連接萬物的”鑰匙”,可預(yù)見API數(shù)量將爆炸式增長。與此同時,API攻擊也越來越高頻出現(xiàn),對任何一家企業(yè)來說又需關(guān)注一項新的安全工程。OWASP為強調(diào)API安全的重要性,在2019年首次提出了API Security Top 10。后隨著安全產(chǎn)業(yè)實踐加深,于2023年發(fā)布了API Security Top 10(候選版)的內(nèi)容更新。該更新內(nèi)容進一步強調(diào)了API攻擊場景與Web攻擊的差異化,突出API權(quán)限管理、資產(chǎn)管理、業(yè)務(wù)風(fēng)控及供應(yīng)鏈問題。

主要變化如下圖所示:

新舊版本對比分析
新增的風(fēng)險
OWASP API Top 10 2023 新增了對敏感業(yè)務(wù)無限制訪問、服務(wù)器端請求偽造 (SSRF) 和 API 的不安全使用三類。
敏感業(yè)務(wù)訪問無限制(Unrestricted Access to Sensitive Business Flows)在 OWASP API 2023 年 10 強榜單中排名第 6,缺乏 API 完整的業(yè)務(wù)視圖往往會導(dǎo)致此問題的存在。
服務(wù)端請求偽造(SSRF)登上了最新的 OWASP Top 10 Web 應(yīng)用程序漏洞榜單,今年也進入了 API Top 10 榜單。SSRF 在 2023 API 前 10 名榜單中排名第 7。SSRF 之所以能上榜,主要是由于這些年來SSRF 攻擊的顯著增加,在現(xiàn)代 IT 架構(gòu)中,越來越多的容器化組件使用 API 通過可預(yù)測的路徑進行通信。開發(fā)人員還傾向于根據(jù)用戶輸入訪問外部資源,例如基于 URL 的文件獲取、自定義單點登錄 (SSO)、URL 預(yù)覽等。雖然這些功能增強了應(yīng)用程序的功能,同樣也使利用 SSRF 漏洞變得更加常見。
API 的不安全使用(Unsafe Consumption of APIs)是2023 年榜單中的第三個新成員,排名第 10。與用戶輸入相比,開發(fā)人員更傾向于信任從第三方 API 接收的數(shù)據(jù),而當(dāng)依賴的第三方的API存在風(fēng)險時將被攻擊者利用。
更新的風(fēng)險
用戶身份認證失?。˙roken User Authentication )修改為身份認證失敗 (Broken Authentication),并且在 OWASP 2023 年 API 前十名列表中仍保持第二名的位置。
損壞的對象屬性級別授權(quán)( Broken Object Property Level Authorization),在最新列表中排名第 3,結(jié)合了數(shù)據(jù)過度暴露 (API03:2019)和批量分配 (API06:2019)。這兩個漏洞都強調(diào)需要正確保護 API參數(shù) ,以防止威脅參與者未經(jīng)授權(quán)的訪問和利用。
資源訪問無限制(Lack of Resources and Rate Limiting )已重命名為資源消耗無限制(Unrestricted Resource Consumption)。以前,重點只放在漏洞上,但現(xiàn)在資源消耗無限制還強調(diào)了沒有適當(dāng)?shù)乃俾氏拗坪推渌Y源使用限制的后果。
刪除的風(fēng)險
日志和監(jiān)控不足(Insufficient Logging and Monitoring and Injections)和注入(Injection)?已從 OWASP API Top 10 2023 列表中刪除。
零信任賦能API安全防護

以0代碼改造設(shè)計交付用戶輕量級的Agent,將API業(yè)務(wù)請求流量轉(zhuǎn)發(fā)至零信任API網(wǎng)關(guān),通過流量中攜帶的身份令牌,確保每一次請求都是被鑒權(quán)的,確保調(diào)用是安全可靠的,且可實現(xiàn)調(diào)用中的數(shù)據(jù)動態(tài)脫敏。通過高性能/高可用架構(gòu)設(shè)計,配合零信任各個核心服務(wù)組件/容器設(shè)計了異常狀態(tài)發(fā)現(xiàn)、主動巡檢等功能,通過Bypass、主備故障切換等業(yè)務(wù)設(shè)計,保障了業(yè)務(wù)延續(xù)性。
對于數(shù)據(jù)擁有方在開展API業(yè)務(wù)共享開放場景,在API業(yè)務(wù)互聯(lián)網(wǎng)暴露面治理、Oday/NDay漏洞攻擊、調(diào)用身份動態(tài)鑒權(quán)、數(shù)據(jù)分類分級管理、敏感數(shù)據(jù)識別、動態(tài)脫敏性能等多個安全技術(shù)細分領(lǐng)域都有非常好的技術(shù)創(chuàng)新和實戰(zhàn)化價值。


零信任API網(wǎng)關(guān)對于API安全風(fēng)險帶來加強
身份認證失效
(Broken Authentication)
從對用戶本身的認證,將范圍擴展到“人機”身份保護范圍,為每一個主機調(diào)用設(shè)備提供一種加密的、可校驗唯一性的數(shù)字身份憑證;
對象屬性級別授權(quán)失效
(Broken Object Property Level Authorization)
通過檢查入?yún)?出參以及返回響應(yīng)體,對于數(shù)據(jù)級的安全控制,保護數(shù)據(jù)泄露的風(fēng)險;
資源消耗無限制
(Unrestricted Resource Consumption)
在所有傳入?yún)?shù)和有效載荷上定義并強制執(zhí)行數(shù)據(jù)的最大大小,對客戶端在定義的時間范圍內(nèi)與API交互的頻率進行限制(速率限制)。限制/限制單個API客戶端/用戶可以執(zhí)行單個操作的次數(shù)或頻率;
不受限訪問敏感業(yè)務(wù)
(?Unrestricted Access to Sensitive Business Flows)
檢測出入?yún)?shù)調(diào)用字段、有效識別敏感字段,提供動態(tài)脫敏、數(shù)據(jù)加密等多項能力保障敏感數(shù)據(jù)不帶走的安全目標(biāo);
服務(wù)端請求偽造
(Server Side Request Forgery)
對API調(diào)用的應(yīng)用身份進行識別以及權(quán)限的核查管控,確保身份/權(quán)限合一,根據(jù)隨請求上報的風(fēng)險及歷史行為識別可疑操作;
缺少對自動化威脅的防護
(Lack Of Protection From Automated Threats)
提供 DDoS攻擊、重放攻擊、SQL注入攻擊、爬蟲拖庫攻擊等通用常規(guī)攻擊防御能力;
存量資產(chǎn)管理不當(dāng)
(Improper Assets Management)
根據(jù)應(yīng)用令牌指紋、時間、頻率、行為等維度的策略限制合法用戶的附加訪問條件,可自動檢測僵尸資產(chǎn)或者長期靜默資產(chǎn)提供主動預(yù)警,并且通過零信任獨有的SPA技術(shù),來實現(xiàn)資產(chǎn)TCP連接的默認拒絕(只授權(quán)合法主機的業(yè)務(wù)請求設(shè)備);
