电话热线
服务热线 19195761296
API成为攻击者的关键目标,企业应如何防范? 2022-05-10

近年来企业网络安全已然成为各行业的重点,提起攻防对抗,最受关注的可能是0day漏洞、网络钓鱼、供应链风险等等,不过对于攻击者来说,如果他想选择一个方便易用的攻击突破口,首选可能是API。随着云计算、移动互联网、物联网的蓬勃发展,越来越多的应用开发深度依赖于API之间的相互调用。尤其是疫情常态化之后,出现了许多协同办公、在线教育、直播短视频等在线应用的发展。API不仅可以用来连接服务,还可以用来传输数据。随着API的绝对数量的不断增长,通过API传递的数据量也在快速增长。

到底什么是API?

API,中文名称为“应用程序编程接口”,就是软件系统不同组成部分衔接的约定,是现代移动、SaaS和Web应用程序的关键组成部分。可能没有了解过的人听起来比较难懂,但其实我们每个人的生活中都会接触到API,如:每天打开手机查看天气,天气APP需要通过API提取数据,又或者到公司出差或旅游时需要上网查票,购票网站的更新数据也是通过API获取,购票后打开OA提交流程,OA应用​​传输数据也是会使用到API。

API成为攻击者的关键目标

有数据显示,API作为轻量化技术,备受全球企业组织青睐,目前应用接口呈现爆发式增长。与2019年相比,2020年API流量同比增长2.8倍,44%的企业正在构建和维护100个或更多的API。

与此同时,API正在成为攻击者的关键目标。根据Salt Security的《State of API Security Report,Q3 2021》报告,2021年上半年,API整体流量增长了141%,API攻击流量增长了348%。API的攻击流量呈倍速增长。报告还指出,安全问题是API项目最关心的问题,大部分受访者对于识别和阻止API攻击都没有十足的把握。

API安全防护企业应怎么做?API安全防护最佳实践!

1、建立可信身份

企业应建立可信身份,然后使用分配给这些身份的令牌来控制对服务和资源的访问。使用加密和签名,通过TLS等方式加密企业数据。要求使用签名以确保只有授权用户才能解密和修改数据。

2、识别漏洞

确保操作系统、网络、驱动程序和API组件保持最新状态。了解如何全面实现协同工作,分析访问流量,自动发现流量中的API接口,对API接口进行自动识别、梳理和分组,以及识别将用于入侵您API的弱点,检测安全问题并跟踪数据泄露。

3、使用配额和限流

设置API调用频率限额并跟踪其使用记录。若API调用的数量增加,它可能正被滥用,也可能是编程错误,例如在无限循环中调用API,指定限流规则,防止API调用激增和拒绝服务攻击。

4、使用API网关

API网关担当主要的API流量策略执行点。良好的网关既能帮助您验证流量的使用者身份,也能控制和分析您的API使用情况。

企业应从API管控技术和数据保护手段方面入手,从API角度增强数据安全治理、保护、监管等多个维度的维护。未来,对API进行细粒度管控将成为企业数据安全风险管控的关键。