1、目目录录一、API 安全概述.1(一)API 已成为数字化转型的重要抓手,安全监管日趋严格.1(二)API 屡受攻击,安全治理存在众多难点.3二、API 爆发式增长催生新的安全挑战.5(一)API 攻击趋势:新型攻击手段频现且难以防范.51.攻击手段多样化.52.攻击途径隐蔽化.73.攻击场景自动化.8(二)API 安全挑战:API 安全已成为网络安全的最大威胁之一.91.API 资产缺乏可见性,或将带来无法量化的风险.92.API 攻击面不断变化,企业难以管理和把控.113.现有防护体系难以对 API 风险进行有效识别.124.API 安全治理成企业数据安全合规的必要举措.145.企业跨部门
2、协同存难题,API 安全全生命周期治理难实现.15三、API 安全防护体系建设思路.16(一)总述.16(二)基于 API 生命周期构建安全防护模型.161.规划阶段:引入威胁建模理论.172.开发阶段:加强安全开发建设,引入安全工具.193.测试阶段:使用 AST 类工具进行自动化漏洞测试,提高覆盖率.214.部署阶段:确保 API 的部署和配置的安全性.225.运维阶段:利用工具及时感知 API 攻击威胁.236.下线阶段:及时下线僵尸影子 API.25(三)API 安全闭环管理要求和建议.261.Identify:构建可持续的识别能力.272.Protect:构建实时的防护能力.293.
3、Detect:构建全面的检测能力.304.Respond:构建高效的响应能力.325.Recover:构建闭环式的修复能力.33四、API 安全未来发展趋势展望.34附录 1 2022 年全球 API 攻击重要事件.36附录 2API 安全最佳实践.39(一)金融行业.39(二)互联网行业.40(三)传统数字化.41图图目目录录图 1 API 生命周期安全管理模型.17图 2 API 安全闭环管理.26图 3 某互联网企业业务请求量.31表表目目录录表 1 API 安全检查表及最佳实践.19表 2 API 安全编码和开发规范.20API 安全发展白皮书(2023)1一、API 安全概述(一(一
4、)API 已成为数字化转型的重要抓手已成为数字化转型的重要抓手,安全监管日安全监管日趋严格趋严格API 指应用程序接口(Application Programming Interface)。中华人民共和国国家标准信息安全技术术语(GB/T25069-2022)将其定义为“一组预先定义好的功能,开发者可通过该功能(或功能的组合)便捷地访问相关服务,而无需关注服务的设计与实现”。应用程序接口作为促进数据流通的重要技术,不仅可以帮助企业建立与客户沟通的渠道,还承担着不同复杂系统环境、组织机构之间的数据交互、传输的任务。API 安全指对应用程序接口的完整性进行有效的防护。API 安全通常包括接口的信息
5、安全、数据安全以及应用安全。API 成为企业数字化转型的重要抓手。自新冠疫情以来,各企业及机构纷纷加快数字化转型的步伐。国家互联网信息办公室发布的数字中国发展报告(2022 年)显示,2022 年我国数字经济规模达 50.2 万亿元,数字经济成为稳增长促转型的重要引擎。随着企业将越来越多的数据和应用迁移至云端,API 也正成为企业成功数字化转型的战略重点之一。IDC 报告显示,到 2021 年,超过 50%的全球2000 强企业,将用 API 开放生态系统完成其平均 1/3 的数字化服务交互。开发、管理和保护 API 安全,将成为数字化时代下企业及机构需要重点考量的关键因素。云计算引爆 API
6、 安全危机。随着云计算、大数据、人工智能的蓬API 安全发展白皮书(2023)2勃发展,越来越多的应用开发深度依赖于 API 之间的相互调用。与此同时,随着全球云上业务快速发展,API 作为系统间的通信桥梁,也正成为攻击者重点光顾的目标,其安全漏洞随着调用量增多而暴露无遗。Gartner 在如何建立有效的 API 安全策略报告中预测,API滥用将成为导致企业 Web 应用程序数据泄露的最常见攻击媒介,到2024 年,API 滥用和相关数据泄露将几乎翻倍。通过攻击 API 来破坏信息系统和窃取数据,已成为数字时代黑产活动最集中的方向之一。我国 API 相关监管逐渐清晰化,但针对不同领域的 API
7、 安全攻防体系难以进行规模化落地。2021 年 9 月 1 日,中华人民共和国数据安全法正式实施,为开展数据安全监管和保护工作提供了法律依据,对数据的有效监管实现了有法可依,并完善了网络空间安全治理的法律体系。API 作为数据传输间的桥梁,应遵守相关法律进行安全监管。2020 年 2 月 13 日,中国人民银行发布商业银行应用程序接口安全管理规范(JR/T 01852020)金融行业标准,规定了商业银行应用程序接口的类型与安全级别、安全设计、安全部署、安全集成、安全运维、服务终止与系统下线、安全管理等安全技术与安全保障要求。我国传统产业规模庞大,数字化进程呈现行业细分的特点,不同垂直领域的安全
8、需求差异较大。数据开放共享过程中涉及个人隐私、商业机密等数据的安全保护制度不够完善、防护技术亟待提升。现有 API 相关标准和 API 安全攻防体系难以实现规模化复制,导致数据质量规范标准、数据价值量化标准匮乏,因此发展难度也更高。API 安全发展白皮书(2023)3(二)(二)API 屡受攻击,屡受攻击,安全治理存在众多难点安全治理存在众多难点国际国内 API 遭受攻击的事件屡见不鲜,已引发广泛关注。受经济利益驱动的攻击者对各个行业的暴露 API 进行广泛攻击,非法窃取隐私数据,造成严重社会影响。国际方面,2023 年 1 月 19 日,美国某运营商暴露的 API 遭到攻击,导致超三千万名用
9、户的姓名、账单地址、电子邮件、电话号码、出生日期被泄露。2023 年 1 月,数十家全球汽车制造商生产的车辆和车联网服务被披露存在众多 API 安全缺陷,攻击者可利用 API 漏洞非法窃取车辆行驶路线信息。2022 年,美国某平台网站上超五百万账户的电话号码和电子邮件地址遭泄露,而泄露数据是通过漏洞赏金计划中披露的 API 漏洞收集的。国内方面,2020 年,某社交平台 API 遭到爬虫攻击,导致超 5 亿用户信息在暗网出售。2020 年 11 月,某企业被曝出有内部人员有偿租借员工账号,导致数十万条公民个人信息被泄露事件。被泄露的信息中包括地址、姓名、电话等信息。2021 年,某企业的 AP
10、I 遭到爬虫攻击,涉及用户账号、昵称、手机号、商品等超亿条信息。新型 API 攻击手段频现,攻击手段呈多样化、隐蔽化发展。随着API 访问环境的愈发开放、API 数量的极速攀升,攻击者正开发出更多更先进的攻击工具和方法对暴露在外的 API 加以利用,早期防护技术已经无法满足现有安全问题的防护需求。新型 API 攻击主要呈现两个趋势。第一是攻击手段多样化。面对受害者的防御策略,攻击者会同时采用多种攻击方法,形成“地毯式轰炸攻击”模式。针对 API 的API 安全发展白皮书(2023)4新型安全威胁包括注入攻击、内容篡改、参数篡改等。在新型攻击手段下,传统 API 安全网关提供的身份认证、权限管控
11、、速率限制、请求内容校验等安全机制逐渐失灵。第二是攻击途径隐蔽化。合法应用程序所使用的加密通道、端口和协议也为攻击者提供了掩盖其足迹的方法。对于安全专业人员而言,从经由 API 接口传入和传出的众多HTTPS 请求中拦截、筛选和分析可疑流量则变得更加麻烦。API 安全治理存在多个难点,传统 API 体系问题日趋明显。为了适应数字化进程的快速发展,政府、企业都会开放大量的 API,由此造成的数据安全风险敞口,传统的 API 安全体系并不能完全应对解决。传统 API 安全体系主要存在四大问题。第一是 API 资产难以进行全面梳理。API 资产盘点仍然停留在主机、服务、端口维度,无法清晰盘点所有 A
12、PI 接口,以及可以输出敏感数据的 API 接口。第二是难以针对 API 接口进行全面的脆弱性评估。API 资产数量庞大且其业务相关性强、迭代速度快,安全运营人员难以对 API 遗留的安全漏洞进行安全性评估。第三是针对 API 接口的威胁检测机制不完善。当前普遍缺乏对 API 的细粒度检测,只能基于已知特征的 API、勒索软件、木马、病毒进行威胁监测,无法实时发现数据泄露以及针对 API 接口特征的攻击。第四是发生 API 攻击事件后的事后追溯难。企业针对API 的日志管理普遍存在分散存储、日志记录不全、格式不规范等问题,一旦发生网络故障或安全事件时,无法在短时间内定位责任人和泄露路径。API
13、 安全发展白皮书(2023)5二、API 爆发式增长催生新的安全挑战(一)(一)API 攻击趋势:新型攻击手段频现且难以防范攻击趋势:新型攻击手段频现且难以防范数字化时代与线上化趋势下,API 作为连接不同应用和系统的桥梁,正迅速成为现代企业的核心组件。API 的爆发式增长在为企业提供了更强大、灵活的数据交换和功能扩展能力、创造更多商业机会的同时,也带来了新的安全挑战。API 接口数量的暴增与其安全发展的不匹配,使其成为恶意攻击的首选目标,API 安全问题受到广泛关注。1.攻击手段多样化攻击手段多样化API 是企业数字化转型的关键组成部分,攻击者可以利用各种不同的手段攻击 API 并窃取敏感数
14、据或者干扰企业的业务流程。常见的API 攻击手段包括但不限于:1.1 拒绝服务攻击(Denial of Service,DoS)。攻击者通过发送大量占用计算资源的请求,例如大文件下载、高负荷的搜索请求等,使得 API 服务器无法分辨并响应合法请求,从而导致 API 服务器资源耗尽,服务不可用。1.2 注入漏洞利用攻击。攻击者通过在API请求中注入恶意代码,以获取未授权的数据或执行未授权的操作。例如,攻击者通过在 API请求中注入 SQL 注入代码的方式,获取数据库中的敏感信息。1.3 未授权漏洞利用攻击。系统对用户的访问控制无限制,攻击者可直接获取未授权的数据或执行未授权的操作。例如,攻击者可
15、在API 请求中使用未经过授权的密钥进行 API 调用,从而获取或修改数API 安全发展白皮书(2023)6据,导致信息泄露,甚至破坏系统功能。1.4 安全配置漏洞利用攻击。攻击者通过发现 API 服务器未正确配置安全措施,利用错误配置发起漏洞攻击。例如,攻击者可以通过访问 API 服务器的管理接口修改 API 的安全配置,以绕过安全措施获取敏感数据。1.5 越权访问漏洞利用攻击。系统对用户的访问控制限制不正确,攻击者可直接获取超出授权的数据或执行超出授权的操作。越权访问包括水平越权攻击和垂直越权攻击两种形式。水平越权攻击是指攻击者通过利用 API 的漏洞,获取其他用户或角色拥有的权限范围。垂
16、直越权攻击是指攻击者通过利用 API 的漏洞,获取比其本身权限更高的权限。例如,攻击者可能会通过利用该 API 漏洞,通过普通用户的凭证来执行管理员级别的操作。1.6 参数遍历攻击。攻击者通过修改 API 请求参数来遍历 API中的文件或目录,获取未授权的数据或执行未授权的操作。例如,攻击者可通过修改 API 请求参数,对 API 的敏感数据或服务器上的文件进行非法访问。1.7 明文传输利用攻击。攻击者通过截获 API 请求,以获取未加密的敏感信息。1.8 代码设计漏洞攻击。攻击者利用目标 API 中的代码设计漏洞进行攻击。这些漏洞通常是由于编码或设计错误而导致的,可能涉及不安全的数据处理、缓
17、冲区溢出、格式字符串漏洞、逻辑错误、错误API 安全发展白皮书(2023)7处理等。例如,某些 API 可能会设计特定数据类型的处理方式,这可能引发攻击者利用该设计漏洞构造特定类型的恶意数据,从而导致API 崩溃或执行恶意代码。1.9 第三方组件漏洞利用攻击。许多应用程序和系统都使用第三方组件,例如开源库、框架和插件,以便快速构建和部署应用程序。此类组件通常由其他开发者编写和维护,在开发过程中可能存在开放性的安全漏洞。攻击者可以利用安全漏洞进行 API 攻击。例如,攻击者可以利用已知的第三方组件漏洞,绕过 API 的安全措施并获取系统权限。这种攻击可能会导致数据泄露、拒绝服务等安全问题。2.攻
18、击途径隐蔽化攻击途径隐蔽化为了规避现有安全防护设备的检测,提高攻击成功率,越来越多的攻击者会采用如下方式来隐蔽其攻击途径:2.1 使用代理服务器。攻击者使用代理服务器隐藏真实 IP 地址和其他攻击特征(如攻击次数、攻击频率)。这可以使攻击者更难被追踪和识别,从而提高攻击的成功率。2.2 滥用逻辑漏洞。攻击者滥用 API 逻辑漏洞发起隐蔽攻击,例如未授权访问、越权访问、过度的错误提示等。此类行为可能被认为是正常的系统操作,从而不会被管理员或安全人员察觉,更不会引起警报。2.3 模拟真实用户请求。攻击者可以使用一些工具来模拟各种类型的真实用户请求,包括 GET、POST、PUT、DELETE 等请
19、求类型,API 安全发展白皮书(2023)8也可以模拟多个用户的流量,并使用分布式攻击工具避免被识别。2.4 破解 API 密钥。攻击者可以尝试破解 API 密钥或伪造 API密钥,以此来绕过 API 的安全措施,如攻击者可以使用字典库来暴力破解 API 密钥。2.5 重定向攻击。攻击者可以利用 API 中的重定向功能来跳过安全检测、混淆或隐藏攻击路径。2.6 滥用 API 版本。API 旧版本可能存在漏洞或者安全问题,攻击者可以利用此类问题进行攻击。攻击者可尝试使用较旧的 API 版本以便绕过最新版本的安全措施,或者利用最新版本中的漏洞来进行攻击。3.攻击场景自动化攻击场景自动化攻击者对 A
20、PI 进行自动化攻击的主要目的是提高攻击效率和成功率,同时降低攻击成本和风险。通过自动化攻击工具和脚本,攻击者可以快速发现 API 漏洞,大量尝试不同的攻击方式和参数组合,并快速利用漏洞进行攻击,从而避免人工操作的不稳定性和易出错性。攻击者针对 API 发起攻击场景自动化的趋势主要有以下方向:3.1 增加攻击深度和复杂度。攻击者倾向于组合多种不同的攻击方法,实现更深入和复杂的攻击。例如,在针对 API 的自动化攻击中,攻击者可能会结合使用扫描、爬虫、渗透测试等多种工具,以实现更广泛和深度的攻击。3.2 模块化攻击方式。攻击者将攻击过程分解成多个模块,每个API 安全发展白皮书(2023)9模块
21、都可以独立完成特定的攻击任务。这些模块可以根据攻击者需要进行灵活组装,以快速完成攻击工具的制作,使攻击更高效。因此,攻击者越来越倾向于使用模块化的攻击工具来发起针对 API 的攻击行为。3.3 与 SaaS 攻击平台结合。攻击者日益倾向于将自动化攻击工具与 SaaS 攻击平台结合使用。例如攻击者会使用 SaaS 化攻击平台进行自动化攻击工具开发。SaaS 化攻击平台包括代理 IP 平台、接码平台等,能够为攻击者提供更强大的攻击工具和更高效的攻击方法。3.4 攻击工具市场化。攻击者将自动化攻击工具的使用权出售给其他攻击者,以获取更高的收益。这些攻击工具可以被打包成易于使用的软件,称为攻击套件,并
22、在地下黑市上出售。攻击者甚至会为攻击工具提供售后和更新服务,以保持工具的有效性。3.5 利用 AI 和机器学习技术进行攻击。随着 AI 和机器学习技术的迅速发展,攻击者开始利用新技术实现自动化攻击。例如,攻击者可以利用 AI 技术自动生成攻击代码或规避安全防御措施。(二)(二)API 安全挑战安全挑战:API 安全已成为网络安全的最大安全已成为网络安全的最大威胁之一威胁之一1.API 资产缺乏可见性,或将带来无法量化的风险资产缺乏可见性,或将带来无法量化的风险随着 API 的广泛应用和数量的快速增长,企业可能面临大量的API 资产,包括公开的、私有的和第三方的 API。这些 API 资产可能存
23、在于企业的各种应用程序、云服务和微服务中,形成了庞杂的 APIAPI 安全发展白皮书(2023)10暴露面。企业对于 API 暴露面的管理和保护是确保 API 安全的重要组成部分。然而,API 资产的发现却是一个具有挑战性的任务,企业进行 API 资产发现时可能遇到如下难点:1.1 API 资产的隐秘性。API 资产不会自主对外宣告,这使得它们很难被发现。内部系统的 API 资产、已静默的 API 资产、东西向调用的 API 资产、第三方提供的 API 资产等由于其隐蔽性将成为 API资产发现过程中的盲区。1.2API 资产的动态性。API 资产可能随着业务需求而不断变化,这将导致 API 资
24、产变更愈加频繁和快速,需要企业建立持续动态的API 发现流程。1.3API 协议的多样性。现代 API 协议的多样性使得 API 资产的发现更加具有挑战性。例如,GraphQL 和 RPC 是两种不同的 API 协议,它们具有不同的语法和语义,需要采用不同的方法进行资产发现。1.4 部署方式的复杂性。API 资产可能采用不同的部署方式,包括网关发布和私有化部署。网关发布通常是一种中心化的方式,它允许在单个入口点上集中所有 API。然而,私有化部署则会使 API 资产更难以发现,因为它们可能被分散在多个环境中,包括本地网络和云环境。此外,API 资产的创建者、使用者和管理者也可能不同,这也增加了
25、 API 资产发现的难度。1.5 开发管理困难。企业的 API 资产累积以及开发管理规范化是逐步建设的过程。然而,在这个过程中,历史建设或第三方创建的API 安全发展白皮书(2023)11API 资产可能无法被纳入开发管理的范围。另外开发管理规范也无法完全保证 API 开发过程的执行质量。这使得 API 资产的开发管理变得更加困难,也使得企业无法只从开发管理规范来实现 API 资产的可见性。1.6 组件引入的不确定性。在开发过程中,开发人员可能会引入各种组件来加速开发进度、提高开发效率。这些组件包括但不限于第三方库、框架、工具等。然而,这些组件包含许多 API 接口,这些API 接口可能被用于
26、开发新的功能,或是作为开发现有功能的基础,极有可能导致 API 资产失去管理,带来一系列潜在风险,尤其是当这些组件由第三方提供的时候。1.7 程序框架的多样性。API 资产往往使用不同的程序语言和框架,相应地就需要考虑不同的技术来进行 API 资产的发现。2.API 攻击面不断变化,企业难以管理和把控攻击面不断变化,企业难以管理和把控企业在完成 API 资产梳理以后,需要对 API 资产所形成的攻击面进行安全管理。而 API 攻击面的动态变化属性导致了企业需要实时且可持续的安全管理手段。引发 API 攻击面动态变化的原因有如下几点:2.1 业务和技术变化。企业的业务需求和技术环境都在不断变化。
27、API 资产可能会随着业务场景的变化而上线或下线,或者在技术架构的升级过程中发生变化。这些变化都会导致 API 的攻击面发生动态变化。API 安全发展白皮书(2023)122.2 持续演化的安全威胁。安全威胁是一个不断演化的过程,攻击者会不断发现新的漏洞和攻击技术。即使在完成 API 资产梳理时没有发现漏洞,但在之后的时间里,新的漏洞也可能会出现。攻击技术的演化导致了 API 攻击面的安全威胁的不确定性。2.3 第三方组件及服务。企业在 API 开发部署过程中常使用第三方组件、容器以及第三方服务 API。这些组件、容器和服务 API 可能存在潜在的漏洞和安全问题,攻击者可以利用它们来攻击企业的
28、 API系统。组件、容器及第三方服务 API 的安全问题不可控也导致了 API攻击面的不可控。基于上述业务、技术及安全威胁的不断发展及演进,API 攻击面的动态变化是不可避免的。可实时持续发现 API 资产的状态变化,感知 API 资产的未知漏洞和已知漏洞的修复状态是企业实现 API 攻击面管理的决定性技术要素。API 的攻击面管理需要使用实时监测和自动化分析工具,帮助企业及时发现 API 资产的状态变化,对 API 资产进行实时的安全评估,从而针对问题资产快速做出反应并采取适当的管理和保护措施。3.现有防护体系难以对现有防护体系难以对 API 风险进行有效识别风险进行有效识别攻击者针对于 A
29、PI 资产的攻击手段存在多样化、隐蔽化、自动化的趋势,可以轻松突破企业对于 API 的限频、限量及认证鉴权等基础的防护手段。除此之外,大部分攻击者利用 2023 OWASPAPI SecurityTop 10(对象级别授权失效、身份认证失效、对象属性级别授权失效、API 安全发展白皮书(2023)13资源消耗无限制、功能级别授权失效等)所列举的逻辑漏洞进行攻击,企业很难从流量中提取区别于正常用户的特征信息,从而对攻击进行阻断。针对 API 的逻辑攻击,传统的安全防护体系常常存在如下难点:3.1 攻击流量无特征。攻击者利用 API 逻辑漏洞时,通常会模拟正常的 API 请求,使用合法的 API
30、参数和协议。这使得企业现有安全设备(API 网关、WAF 等)难以区分攻击流量和正常流量。因为攻击流量与正常流量在协议和参数上并无明显区别,传统的基于规则的安全设备难以准确检测和识别这种攻击。3.2 攻击行为跨越多个请求。API 逻辑漏洞通常涉及多个 API 请求上下文的交互,攻击者通过多次请求的组合来实现攻击目的。然而,现有安全设备难以理解攻击的完整上下文,无法对多个 API 请求的关系和交互进行深入分析。这限制了它们在识别和检测 API 逻辑攻击的准确性和有效性。3.3 缺失敏感数据的理解。API 逻辑攻击通常涉及敏感数据的泄露、篡改或者未经授权的访问。然而,现有安全设备主要关注网络协议和
31、数据格式,难以理解流量中传递的敏感数据的类型及内容,这导致它们无法对涉及敏感数据的恶意攻击进行准确的检测和识别。虽然 API 网关设备和 WAF 设备都开始引入人工智能学习算法来不断分析攻击者的攻击方法和行为模式,并根据这些信息提炼出攻击者的特征向量,自主地调整自身的规则和策略,但是在应对攻击风险API 安全发展白皮书(2023)14的过程中,仍存在三大问题难以解决。第一是导致误报或漏报。AI学习需要大量的数据集进行训练,如果数据集中存在偏差或噪声,可能会导致误报或漏报攻击。同时,攻击者也可以采用无特征的攻击流量使 AI 学习无法归纳出特征向量或者归纳出错误的特征向量来规避检测,导致设备的失效
32、。第二是难以应对新型攻击。尽管 AI 学习能够识别历史攻击模式并对其进行预测和防范,但是对于新型攻击模式,设备可能无法及时识别和防范,需要进行额外的人工干预和调整。第三是需要大量的计算资源。AI 学习需要大量的计算资源来训练模型和执行实时检测,这需要企业投入更多的成本来购买和维护高性能的设备和系统。除上述因素以外,企业内部系统以及东西向的流量也很难接入到WAF 设备及 API 网关设备,无法对上述系统或者流量进行 API 风险的识别。因此,企业现有的防护体系难以有效应对 API 攻击所带来的新的挑战。4.API 安全治理成企业数据安全合规的必要举措安全治理成企业数据安全合规的必要举措对企业而言
33、,围绕数据的全生命周期,从数据采集、存储、访问、使用、销毁构建完善的数据安全体系成为安全建设工作的重点。目前,大多数企业在数据采集、存储、数据库访问方面做了比较全面的安全建设,在数据的流动访问方面的安全建设意识也正逐步萌芽和发展;而 API 作为连接数据与应用的主要通道,成为了数据传输中最薄弱的环节之一。传统的安全防护手段主要以边界安全为主,在API 安全发展白皮书(2023)15安全能力无法覆盖到 API 敏感数据的保护,从而导致 API 数据泄露和违规访问的风险依然无法规避。由于 API 防护的缺失,企业对外暴露的 API、开放的 API、API通信中的敏感数据等问题均未得到应有的重视。攻
34、击者可以利用 API的认证授权、数据过度暴露、数据可遍历、配置或设计错误等漏洞发起攻击进行数据窃取。企业有效的落实 API 的安全治理,已经成为其满足监管合规要求的必要举措。5.企业跨部门协同存难题企业跨部门协同存难题,API 安全全生命周期治理难安全全生命周期治理难实现实现API 安全的治理需要从 API 生命周期的角度考虑,即从 API 的规划、开发、测试、部署、运行和下线等各个阶段全面考虑安全性,避免安全漏洞被潜在的攻击者利用。而实现全生命周期的安全治理需要跨多个部门,包括开发、测试、安全、运维等部门,达成共识并建立协作机制,共同保障 API 的安全。当前企业在 API 安全治理的跨部门
35、合作中可能存在五方面问题。第一是缺乏有效的沟通渠道和协作机制。不同部门之间缺乏有效的沟通和协作机制,导致信息共享不畅,合作难度大。第二是职责划分不清。不同部门对 API 安全治理的职责划分不清,导致工作重叠或空缺,影响协作效率。第三是缺乏协同工具和流程支持。缺乏协同工具和流程支持,导致协作效率低下,难以有效跨部门合作。第四是优先级和利益冲突。不同部门的工作重心和利益有所不同,导致协作中可能存在优先级和利益的冲突。第五是技API 安全发展白皮书(2023)16术难度大。API 安全涉及到技术和业务的复杂性,不同部门可能缺乏相应的技术和经验,导致难以合作和共同解决问题。三、API 安全防护体系建设
36、思路(一)(一)总述总述建立 API 安全防护体系是确保企业信息安全的必要举措,也是企业可持续发展的重要保障,该体系的构建过程是长期且持续的,且涉及多部门参与。安全部门作为 API 安全的第一责任人,可以优先基于API 生命周期构建安全防护模型,再结合自身业务情况,进一步基于IPDRR 模型实现 API 安全管理的闭环。注:IPDRR 模型是一种安全管理框架,其核心思想是通过识别、防护、检测、响应和修复五个步骤来全面评估和管理组织的信息系统、网络和应用程序的安全。通过实施 IPDRR 模型,组织可以制定综合的安全策略,包括技术、运营、人员、法律和合规等方面,以保护组织的信息和资产免受安全威胁的
37、侵害。(二)(二)基于基于 API 生命周期构建安全防护模型生命周期构建安全防护模型对企业而言,想要做好安全管理,全生命周期的 API 管理很有必要。首先,API 是企业的私有化资产,从设计和开发就是在企业内部完成,API 问题的产生通常也是由企业自身产生。所以,企业在管理角度上,有必要从开发和设计环节就开始考虑整个 API 的管理。其次,API 在整个业务生命周期当中变化非常快,API 实现逻辑一旦发生变化,很容易引入新的风险。因此,从 API 全生命周期来考API 安全发展白皮书(2023)17虑 API 安全,围绕规划、开发、测试、部署、运行到下线的每一个环节加强安全建设显得尤为重要。图
38、 1 API 生命周期安全管理模型1.规划阶段:引入威胁建模理论规划阶段:引入威胁建模理论在 API 全生命周期中,规划阶段至关重要,它决定了整个 API开发过程的方向和目标。在规划阶段,企业应根据自身业务需求对风险进行评估,并制定 API 安全规划和策略,以确保 API 的安全性和可扩展性。威胁建模作为一种系统方法,是安全规划中的重要部分,它帮助企业评估 API 存在的威胁和漏洞,并采取相应措施保护 API的安全。API 安全发展白皮书(2023)18在规划阶段,威胁建模可帮助企业评估 API 的安全风险,为后续的保护措施提供指导。企业可采用 ASTRIDE 和攻击树等模型进行威胁建模,分析
39、攻击者的目标、手段和途径,并根据分析结果制定相应的威胁建模。同时,结合自身业务特点和历史安全事件总结,制定安全策略和措施,为后续的开发、测试、部署和运行提供指导,确保 API 在全生命周期中的安全性。ASTRIDE 安全分析模型(Asset,Threat,Vulnerability,Risk,Impact,Detection,and Response)是一种综合了攻击树和组合方法的安全风险评估模型,它通过对系统进行建模和分析,可以识别出系统中存在的安全漏洞和潜在攻击路径,并且可以对这些漏洞和攻击路径进行量化的评估和排序。当企业在规划阶段引入威胁建模理论时,安全工程师应参与其中以确保 API 的
40、安全防护能力:安全工程师可以在设计阶段对 API 进行威胁建模,识别 API 的安全威胁和漏洞,并提出改进方案;安全工程师还可以提供安全规范和最佳实践,以确保 API 的安全性和可用性,资源允许的情况下在设计阶段对每个 API 进行威胁建模,线上的 API风险将会大大减少;资源有限的情况下,安全工程师可建设自动化威胁建模的能力,采用“重点业务人工评审”和“非重点业务自动化威胁建模”相结合的方式,对核心高风险 API(如账号登录、文件上传、营销活动等关联 API)进行覆盖。API 安全发展白皮书(2023)19此外,安全工程师还可以在规划阶段为 API 安全设计提供指导和建议,包括让开发人员遵循
41、安全编码标准和最佳实践,加强代码审计和安全测试,以及设计强有力的认证和授权机制等,同时协助企业评估 API 的安全性,提出适当的安全措施和流程,最大程度降低风险,加强企业数据资产保护。下表中的安全检查表和最佳实践可以作为威胁建模阶段的参考:表 1 API 安全检查表及最佳实践序号序号名称名称来源来源1OWASP REST 安全检查表https:/cheatsheetseries.owasp.org/cheatsheets/REST_Security_Cheat_Sheet.html2API安全工具和资源(APIsec)https:/ 安全检查表https:/ 安全检查表https:/ API
42、的安全性。首先,可以制定安全开发规范,明确 API 开发的安全要求和规范,确保开发人员在设计和编写 API 时充分考虑安全因素,从而减少潜在漏洞的存在。其次,企业需要开展安全开发培训,将安全意识渗透到开发人员API 安全发展白皮书(2023)20的日常工作中。培训应该包括最新的安全技术和最佳实践,同时也应该提供实践指导,帮助开发人员了解如何构建安全的 API,如何使用安全开发工具和技术来发现和修复漏洞。为了加强安全开发意识,安全团队和开发团队可以共同建立安全社区,定期举办安全相关的活动,分享最新的安全知识和案例,让团队成员共同学习、成长和分享。此外,企业可以使用安全开发工具来提高 API 的安
43、全性。这些工具可以帮助开发人员发现并修复 API 中的安全漏洞,例如静态代码分析工具、API 安全验证工具等。这些工具还可以自动检测代码中的漏洞和潜在安全风险,并及时提醒开发人员进行修复。通过上述安全措施的引入和实施,可以在 API 开发阶段有效提升企业的 API 安全防护能力,减少潜在安全风险和漏洞。如下列表中的安全编码和开发规范,可供借鉴及参考:序号序号名称名称来源来源1OWASP 安全编码实践https:/owasp.org/www-project-secure-coding-practices-quick-reference-guide/2腾讯代码安全指南https:/ API 安全开
44、发规范https:/ 2 API 安全编码和开发规范API 安全发展白皮书(2023)21在开发阶段可以考虑使用如下工具加强安全建设:2.1 引入静态代码分析工具。嵌入到 CI/CD 或者研发流程中,对代码进行静态扫描,识别潜在的代码缺陷和安全漏洞。2.2 引入 API 管理工具。对 API 的文档进行集中统一管理,监测API 的变更迭代的过程数据,帮助团队实现 API 的快速迭代和管理。2.3 引入 API 安全验证工具。验证 API 安全实现的正确性,以保障验证工作尽可能做到全面,相关工具如 FuzzDB、个人数据隐私监测类工具。3.测试阶段:使用测试阶段:使用 AST 类工具进行自动化漏
45、洞测试,类工具进行自动化漏洞测试,提高覆盖率提高覆盖率在测试阶段,企业需要在实现 API 业务逻辑、API 稳定性、API性能测试的基础上增加 API 安全的自动化测试。进行 API 安全自动化测试的目的是为了自动化扫描每一个 API,从“请求输入”与“应答响应”两部分去分析 API 是否存在漏洞。API 安全测试的常规内容主要包含 API 身份验证、授权、输入验证、异常处理、数据保护、安全传输以及 HTTP Header 安全性等。API 数量多且在不断地迭代更新,因此需要借助自动化工具来辅助进行安全测试,以便在测试阶段提前发现 API 在研发过程中存在的安全漏洞。常用的工具有以下三类:SA
46、ST、DAST、IAST 工具,可以在测试阶段提前发现存在的 API 安全漏洞。静态安全检测(Static Application Security Testing,SAST),其API 安全发展白皮书(2023)22特点是分析应用程序的源代码或二进制文件,通过语法、结构、过程、接口等来发现应用程序的代码是否存在漏洞。动态安全检测(DynamicApplication Security Testing,DAST),其特点是在应用程序的动态运行状态下,模拟黑客攻击行为,分析应用程序的响应,而确定应用程序是否存在漏洞。交互式安全检测(InteractiveApplication Security
47、Testing,IAST),相当于是 DAST 和 SAST 结合的一种安全检测技术,通常会在应用程序中添加探针或 Agent 代理,收集应用程序、Web 容器、JVM 中的执行日志和函数调用信息,结合请求输入与响应消息,分析应用程序中是否存在漏洞。4.部署阶段:确保部署阶段:确保 API 的部署和配置的安全性的部署和配置的安全性在 API 部署阶段,企业需要采取一系列措施来保证 API 的安全性。首先,在 API 部署前,企业需要对服务器进行安全扫描及加固,包括对服务器系统、应用、中间件等进行安全配置,开启防火墙等安全措施,减少攻击面,降低服务器受攻击的风险。其次,企业需要确保数据在传输过程
48、中的安全性,可以通过使用SSL/TLS 等加密协议来加密数据传输,防止数据在传输过程中被窃取或篡改。此外,企业需要根据业务需求限制对 API 的访问,确保只有授权的用户或系统能够访问 API。可以通过 IP 白名单、Token 鉴权等方式API 安全发展白皮书(2023)23进行访问控制,避免未授权的用户或系统访问 API。最后,企业可以使用安全配置检测工具来检测 API 部署和配置的安全性,包括服务器的操作系统、中间件、数据库等的配置,防止因配置错误或漏洞而导致的安全风险。在部署阶段可以考虑使用如下工具加强安全建设:4.1 漏洞扫描工具。通过模拟攻击,帮助企业自动发现 API 部署时存在的常
49、见漏洞和安全配置问题,并提供修复建议。4.2 安全配置管理工具。可以帮助企业管理 API 的安全配置,监控配置的变更,及时发现不安全的配置并采取措施进行修复。5.运维阶段:利用工具及时感知运维阶段:利用工具及时感知 API 攻击威胁攻击威胁在运维阶段,企业可以利用各种安全工具来及时感知 API 的攻击威胁,实现 API 的分层防护,确保 API 的安全性。这些工具包括 DDoS防火墙、Web 应用程序防火墙(WAF)、API 网关、API 安全审计工具等。5.1 DDoS 防火墙。针对分布式拒绝服务攻击(DDoS)的安全工具,DDoS 防火墙可以通过各种技术手段,包括 IP 黑名单、限制流量等
50、,识别和过滤 DDoS 流量,保护 API 免受 DDoS 攻击。5.2 Web 应用程序防火墙(WAF)。通过分析来自客户端的 HTTP请求,并根据其规则库对其进行检查,以检测和阻止恶意攻击。在API 防护过程中,WAF 通常用于阻止 SQL 注入、跨站脚本攻击(XSS)等攻击请求,以及常规的 BOT 攻击等。WAF 可以提供实时监测和分API 安全发展白皮书(2023)24析 API 的访问日志,并能够迅速发现异常行为。WAF 可以记录所有请求数据,包括来源 IP、用户代理、参数等,并能够根据事先设置的安全策略进行分析和识别。当异常行为被发现时,WAF 可以立即采取行动,根据预设的安全策略
浙ICP备2021020529号-1 | 浙B2-20240490 
