01OWASP 2023 API Security Top 10
伴随企业数字化程度的加深,API被广泛的使用。统计数据显示,API请求已经占据了所有应用请求的80%,预计2024年API请求将达到40万亿次。与此同时,API安全变得越来越重要。大量关键和敏感的信息通过API在各种应用、系统、设备之间传递。不安全的API很容易成为黑客所攻击的目标。
【资料图】
OWASP为强调API安全的重要性,在2019年首次提出了API Security Top 10。后随着安全产业实践加深,于2023年6月5日,又正式发布了2023年API Security Top 10。相比2019年的旧版本,新版本强调了API攻击场景与WEB攻击的差异化,对API身份认证和授权的管理进行了重点突出,自动化威胁防护缺失和API供应链的安全风险等也被首次加入到了清单。
下图是2019年版本与2023年版本的区别:
▲ OWASP API Security Top 10清单调整图示
02安天WEB应用防护系统提供持续性API安全解决方案
安天WEB应用防护系统以持续性API安全防护为核心理念,为企业提供全面的API安全解决方案,可靠地防御OWASP 2023 API Security Top 10中所描述的安全风险。
产品提供的API安全解决方案由六大组件所组成:API自发现、访问管控、安全防护、风险评估、健康监测和流量审计。六大组件涵盖API安全的整个生命周期,互补联动、循环迭代,为用户持续性的提供API安全防护能力。
▲ 持续性API安全解决方案
1.API自发现
安天WEB应用防护系统的API自发现旨在识别、发现网站对外暴露的API接口,学习其采用的认证方式、数据类型、访问规范、调用关系等关键信息,为后续进一步的安全防护提供基础和依据。具体API自发现包括识别、学习、画像、防护输出四个阶段。
▲ API自发现四个阶段图示
API识别阶段结合用户跟踪技术,对WEB流量进行综合分析,识别提取出具有API行为特征的HTTP访问,梳理出网站对外提供的API服务。API学习阶段通过对API调用进行深入分析,确定API的数据格式、请求/响应方式、操作类型、涉及参数、验证方式等,学习API的行为模式和使用方法,如频率、参数值范围、有效性以及API间的依赖关系,理解API的功能和逻辑。
基于对API的分析和学习结果,生成API画像,全面系统地描述API的结构、特征和安全需求等重要信息。API画像为后续的安全防护功能提供防护依据。
借助API画像,能够为API安全防护功能生成相应的防护规则。例如,可以为OpenAPI防护功能生成符合API的OpenAPI防护规范。
API资产管理可以防范OWASP 2023 API Security Top 10中的“API9-库存管理不当”的风险,管理未下线的老版本API或者调试的API等,防止暴露风险。
2.API访问管控
全面的API管控手段:提供丰富多样的API管控手段,支持根据地域、来源IP、访问频度、用户身份、API对象等多种条件的组合,形成灵活的API访问管控策略,能够根据实际需求,灵活定制管控规则。
基于用户身份的API访问管控:基于用户身份的API访问管控机制能够有效防止未经授权或越权的API访问,并防范API的滥用行为。通过身份验证和授权机制,确保只有经过授权的用户可以访问API,保障API的安全性和合规性。
API令牌安全保护:使用加密和重放保护技术,保证在API访问过程中的API认证令牌的安全性,防止恶意方对API令牌进行窃取或篡改,保障API访问过程的完整性和可信度。
实时权限状态监控:实时监控API用户的权限状态,及时感知API用户权限状态的异常变化,有效防范针对API的水平或垂直提权攻击。
从OWASP 2023 API Security Top 10风险列表来看,有4项排名靠前的授权相关风险项:
◆ API1-对象级别授权失效(Object Level)
◆ API2-身份认证失效
◆ API3-对象属性级别授权失效(Object Property Level)
◆ API5-功能级别授权失效(Function Level)
安天WEB应用防护系统基于用户身份的API访问管控通过用户认证跟踪、权限状态变化监控、认证令牌安全增强可以有效缓解OWASP 2023 API Security Top 10中授权相关风险。
3.API安全防护
安天WEB应用防护系统提供多种全方位的防护手段,包括DDoS防护、反自动化工具、WEB应用攻击检测、JSON/XML数据规范、OpenAPI合规、API数据脱敏等。这些手段相互协作,形成立体、综合的API防护方案。
API安全防护组件与API自发现和API风险评估组件紧密联动。首先,API安全防护组件从API自发现组件自动获取并建立API防护策略,实现API的主动防御。其次,API安全防护组件将其检测结果输出给API风险评估组件,供其进行进一步的风险评估。
通过上述API安全防护机制和流程,能够将API的安全状况与风险评估相结合,形成更全面、准确的安全防护策略。
对于“API7-服务器端请求伪造(SSRF)”项目,特征检测功能包含触发SSRF攻击所需的远程资源访问协议特征,可以有效地进行防护。
针对“API6-访问敏感业务流无限制”项目,通过学习并限制API的访问频度来实施防御。
API安全防护的防范弱口令、暴力登录防护功能,可有效缓解“API2-身份认证失效”威胁。
4.API风险评估
安天WEB应用防护系统的API评估组件综合API风险评估模型、API异常行为感知引擎、API通用安全综合分析子系统对API操作进行风险评估,进行威胁评分。
内置20多种业务API风险模型,模型覆盖广泛的业务威胁场景,如注册、登录、下单异常检测模型,能够及时、有效地感知高层业务API威胁。
API异常行为感知引擎通过关联用户API访问上下文,基于业务行为逻辑描述语言(BHDL),检测异常的API访问行为。
API通用安全综合分析子系统通过分析WEB安全检测功能的输出结果,对API访问从WEB通用安全的维度进行风险评估。
API风险评估组件对于不安全使用的API会给予较高的威胁评分,通过威胁评分维度可以高亮出具有“API10-API的不安全使用”风险的API。
在一个保险客户的案例中,API文档异常下载风险模型感知到某一用户在较短的时间内下载了大量的文档性文件,风险模型对于该用户的文档下载API操作进行了威胁评分,评分并随着下载文件增多而迅速增加。管理员及时发现了该类威胁异常,通过进一步对相关用户API流量进行调查,发现该用户下载了大量的不属于自身账户的保单。通过对相关API调用数据的进一步分析,发现该用户通过篡改对象ID达到了越权的目的。
▲ 系统威胁评分示意图
5.API健康监测
API健康监测对API的可用性、性能和稳定性进行不间断实时监测和评估。安天WEB应用防护系统通过对API进行健康监测,可以及时发现API存在的潜在问题和异常,使得管理员可以及时采取相应措施来保证API的正常运行以提供稳定的服务。产品分别从API可用性、延时、错误率等多个方面进行API健康监测。
API健康监测定期发送API请求来探测API的可用性,验证其连接和服务的可达性,确保API能够正常地接收和响应请求。当监测到API不可用时,监测系统会第一时间向管理员发出告警。
通过测量API请求的响应时间,评估API的性能和响应速度,分析统计API请求的平均延迟、最大延迟和最小延迟,生成相应的延时指标和报告。
通过跟踪每个API请求的状态码和错误信息,统计API调用的错误率,以评估API的稳定性和错误处理能力,及时发现异常错误率的API,并针对性地解决问题,以提高API的可靠性和稳定性。
对于“API4-资源消耗无限制”的API往往在性能和稳定性上会有表现,API健康监测通过API健康指标可以发现存在的API性能问题。
6.API流量审计
在API安全领域,API审计扮演着至关重要的角色。安天WEB应用防护系统借助API识别和用户点击流还原技术,能够精确提取用户与API相关的操作,并结合API当前用户、威胁评分、客户端类型、API业务类别等API安全上下文信息,详细记录API的访问情况。
通过可视化交互界面,管理员可以便捷地进行API安全事件的纵深调查和分析。管理员可以从来源客户端、用户、API威胁等多个维度展开对API安全事件的调查,深入了解API的调用上下文。这有助于管理员轻松发现API潜在的安全威胁和攻击行为,并具备发现API相关零日漏洞的能力。
当网站面临“API8-安全配置错误”问题时,网站会出现大量的非预期访问,通过流量审计的业务分析维度结合API用户身份可以识别该类非预期流量,从而揭示网站存在API安全配置错误问题。
03结语
安天WEB应用防护系统通过一系列的API安全防护流程,包括发现、管控、防护、评估、监测和审计,覆盖了企业API涉及的各个安全环节。
我们的理念是持续性的API安全防护,旨在全面抵御OWASP 2023 API Security Top 10中涉及的各类API安全威胁,为客户的API安全提供可靠的防护。
