电话热线
服务热线 400-0033361
API安全 | 企业要注意针对网络应用和API攻击 2022-07-28

随着互联网的全面发展,API这个词频频出现在大家的视线中。什么是API?API的全称是Application Programming Interface,意译为“应用程序接口”。HTTP接口),用于连接软件系统的不同组件的约定。用于提供应用程序与开发人员基于某软件或硬件得以访问的一组例程,而又无需访问源码,或理解内部工作机制的细节。

企业要注意针对网络应用和API攻击

今年4月,哥斯达黎加政府多个部门遭到国际知名勒索组织Conti软件攻击,导致该国进入紧急状态。在这次攻击中,数百个G的文件被盗,并被要求支付1000万美元的赎金。据了解,Conti勒索软件组织去年收取了高达1.8亿美元的赎金。仅今年4月,Conti的受害企业数就达到了45家。

边缘计算平台Akamai最近的研究表明,Conti通过对易受攻击的应用程序和系统进行自动攻击,尝试获得对目标网络的初始访问权限。这提示企业组织要注意针对网络应用程序和API的攻击。

据研究部门Salt Labs发布的《2022年第一季度API安全状况报告》显示,在过去12个月中,恶意API流量增加了681%,95%的组织都经历了API安全事件。然而,大多数组织并没有准备好应对这些挑战,超过三分之一(34%)的企业没有API安全策略。

为什么黑客对API情有独钟?

为什么API总是成为攻击者的目标?概括地说,有以下三个原因:

1、目标容易找:API的职责是应用程序之间的调用,自然是公开暴露的。

2、攻击潜在收益高:API携带大量重要数据和认证信息,一旦攻击者成功攻破API,就可以直接访问核心系统。

3、攻击防范难度大:大量API权限没有精细控制,很容易被攻击者发现漏洞,从而轻松绕过边界保护。

企业API安全防护怎么做?

针对企业API安全保护,综合了网上部分安全建议,以供大家参考:

1、API资产的安全管理

企业应梳理开放API数量、API活跃状态、僵尸API、影子API等,清理影子API,对流经各个API的数据进行识别和分类,从各个方面对API的安全性进行严格测试和评估。

2、敏感数据分级分类

在通过流量对API资产进行梳理排序的同时,识别并提取流量中流动的敏感数据资产,并对提取的敏感数据类型进行分类,确保数据资产持续更新且可见。

3、API攻击监测和防护

面对越来越多的API攻击和数据泄露风险,企业应从多维度构建防御体系,更重要的是构建基于风险情报的攻击检测模型,实现早期发现、及时防御,从而保护企业及其用户的数据安全。