close
應用程序編程接口(API)實際上是現代應用程序的構建塊,對於構建和連接應用程序及網站都是十分必要的存在。如今,應用程序開發中的API使用已成為新的實踐標準,通過集成第三方服務的功能,開發人員不用再從無到有自己構建所有功能,這樣一來可以加快新產品及服務的開發過程。

近年來,API的使用更是呈現爆炸式增長。根據Akamai的說法,API通信現在占所有互聯網流量的83%以上。

儘管API支撐着用戶早已習慣的互動式數字體驗,是公司數字化轉型的基礎,但由於API的防護薄弱,同時也為惡意黑客提供了訪問公司數據的多種途徑,成為攻擊的主要目標之一,特別是惡意機器人攻擊。

根據Perimeterx最新調查數據顯示,通過API端點進行登錄嘗試的流量中,高達75%都是惡意的。攻擊者正在系統地使用機器人進行惡意登錄嘗試。那麼如何保護API免受機器人侵擾和攻擊呢?下文將為大家介紹API 機器人檢測和防護的有效方法。

API機器人攻擊不斷增長

API允許開發人員更輕鬆地訪問、重用和集成功能資產和數據,從而將敏捷性、速度和效率引入開發流程。這也導致了越來越多的組織過度依賴API,開始部署越來越多的API來幫助實現自身的數字化轉型計劃。

API流量不斷增長,但惡意API流量卻增長得更快。數據顯示,Salt Security客戶每月的API調用量增長了51%,而惡意流量則增長了211%。

API經常面臨機器人網絡攻擊的風險,如拒絕服務(DoS)和分布式拒絕服務(DDoS)攻擊、內容和敏感信息抓取、梳理攻擊以及賬戶接管等。

根據Salt Security於去年2月發布的報告顯示,2020年有91%的公司存在與API相關的安全問題。其中,最常見的是漏洞,涉及54%的受訪組織;緊隨其後的是身份驗證問題(46%受訪者)、殭屍程序(20%受訪者)以及拒絕服務(19%受訪者)。

此外,98% 的組織宣稱發生過針對其應用程序/網站的攻擊,而82% 的組織報告說這些是機器人網絡攻擊。一些組織每月至少面臨一次 DoS/DDoS 攻擊或某種形式的注入或屬性操縱事件。

但糟糕的現實是,超過四分之一的組織正在沒有任何安全策略的情況下運行基於關鍵API的關鍵應用程序。例如,Peloton最初就是可供任何人在任何地方通過API訪問用戶數據,而無需任何身份驗證。

API機器人攻擊日盛的推動因素
40%的組織報告稱,由於API的存在,超過一半以上的應用程序暴露在第三方服務或互聯網上;

基於機器人的API攻擊更容易編排,因為殭屍網絡隨時可供租用;

傳統的檢測和預防技術,如速率限制、基於簽名的檢測、阻塞協議等,被發現無法抵禦高度複雜的API機器人攻擊;

惡意行為者正在系統地利用機器人,組織通常很難區分人類活動和機器人活動,以及區分好的和惡意的機器人,這嚴重限制了他們保護API免受機器人攻擊的能力;

API請求不經過瀏覽器或原生應用程序代理的傳統路徑;它們充當可以訪問資源和功能的直接管道。這使得API成為攻擊者有利可圖的目標;

通常,開發人員使用API的標準/通用規則集,而不考慮業務邏輯。這就為API敞開了業務邏輯漏洞的大門,這些漏洞經常被機器人利用來造成嚴重破壞。
如何保護API免受機器人攻擊影響?收集情報,建立正常行為的基線
為了有效地保護API免受機器人攻擊影響,組織需要確定什麼是可接受的正常行為,以及什麼是異常行為。為此,組織的安全解決方案必須監控API流量,並通過指紋、行為、模式和啟發式分析、工作流驗證、全局威脅源、網絡響應時間等收集情報。這些見解必須與內部和外部的信譽源相結合,以建立人類和機器人行為的基線,以及在機器人行為中,區分什麼是好的和壞的行為。
這個過程必須是持續的,因為數字領域正在迅速發展;攻擊者正在不斷利用複雜的技術,以確保機器人能夠模仿人類行為。組織需要不斷地針對API安全性重新校準哪些是可接受的和惡意的行為。
持續監控API請求
根據基線模型細粒度地監控所有API請求。API中的機器人檢測過程需要智能(使用自學習AI、深度分析和自動化)且靈活,以確保實時機器人活動檢測的敏捷性、速度和準確性。此外,持續的監控和記錄同樣至關重要。
部署即時的惡意機器人緩解技術
為了保護API免受機器人攻擊,組織不能停止實時檢測,必須能夠阻止惡意機器人訪問API和API經常暴露的關鍵任務資產。為此,智能API機器人管理解決方案可以即時、智能地對抗最複雜和最隱秘的惡意機器人。
智能API機器人管理工具根據實時洞察和信號決定是否允許、阻止、標記或質疑傳入的API請求。結合一個可靠的錯誤管理系統,這有助於最大限度地減少誤報和漏報。換句話說,它們有助於為惡意機器人和惡意行為者訪問API、非法流量和良性機器人增加摩擦力。
實施零信任架構
採用零信任架構,其中每個用戶都必須證明自己的身份,並根據其角色和執行必要操作所需的範圍內給予訪問權限。不受限制的、未經檢查的權限和特權都不利於API安全,特別是針對諸如憑證填充和暴力攻擊等機器人網絡攻擊。此外,組織還可以實施基於角色的強大訪問控制、強密碼策略和多因素身份驗證。
自定義規則集
根據上下文智能定製規則集,以防止機器人利用API中的業務邏輯缺陷和其他漏洞。此外,請務必在獲得認證的安全專家的幫助下,準確地定製安全策略。

原文鏈接:
https://www.helpnetsecurity.com/2022/09/12/api-bot-attacks/


精彩推薦





arrow
arrow
    全站熱搜
    創作者介紹
    創作者 鑽石舞台 的頭像
    鑽石舞台

    鑽石舞台

    鑽石舞台 發表在 痞客邦 留言(0) 人氣()