《奇安信：API安全能力建設桔皮書（2022）（35頁）.pdf》由會員分享，可在線閱讀，更多相關《奇安信：API安全能力建設桔皮書（2022）（35頁）.pdf（35頁珍藏版）》請在三個皮匠報告上搜索。

1、 API 安全能力建設桔皮書 奇安信集團 股票簡稱：奇安信 股票代碼：688561 第 2 頁，共 35 頁 API 安全能力建設 桔皮書 奇安信科技集團股份有限公司 2022 年 1 月 版權聲明版權聲明 本文中出現的任何文字敘述、文檔格式、插圖、圖片、方法、過程等內容，除另有特別注明，版權均為奇安信集團奇安信集團（指包括但不限于奇安信科技集團股份有限公司、網神信息（指包括但不限于奇安信科技集團股份有限公司、網神信息技術（北京）股份有限公司、北京網康科技有限公司）技術（北京）股份有限公司、北京網康科技有限公司）所有，受到有關產權及版權法保護。任何個人、機構未經奇安信集奇安信集團團的書面授權許

2、可，不得以任何方式復制或引用本文的任何片段。前前 言言 對數據要素掌控和利用能力，已成為經濟增長的核心驅動力。在數字化時代，數據是重要資產，數據的安全是網絡安全乃至國家安全和社會安定不可或缺的重要要素。在云計算、大數據、人工智能等新興技術的推動下，眾多行業都在經歷一場轟轟烈烈的數字化轉型大潮。伴隨著數字化進程的發展，API 作為連接數據和應用的重要通道，在物聯網、微服務、云原生等場景都得到了非常廣闊的應用，通過 API 的能力將企業的數據資源整合，即將其服務、能力和資產打包到可重復利用的模塊化軟件中，讓數據在不同環境中使用，包括將其與合作伙伴及其他第三方有價值的資產結合起來。API在數字化轉型

3、中的扮演的角色將愈發重要，通過 API 進行數據交換成為最重要的傳輸方式之一，也因此成為攻擊者竊取數據的重點攻擊對象。近兩年來因 API 安全問題導致的數據泄漏事件頻頻發生，可以看到 API 安全是一個常見但似乎又不為人熟知的挑戰。行業對 API安全的認識仍處于早期，OWASP API Security Top 10（失效的對象級授權、失效的用戶認證、過度的數據暴露、資源缺失&速率限制、功能級別授權已損壞等）指出了 API 最常見的安全風險。本報告結合面向實戰化的安全實踐，通過將 API 的安全能力和組件，嵌入到業務體系，構建自適應的內生安全機制。按照“發現”、“檢測”、“防護”、“響應”的安

4、全模型進行 API 安全體系建設，并不斷地創新與迭代，提供萬物互聯時代的數據交換、大規模分布式架構、云計算、數字化改造等場景的數據安全保障 目目 錄錄 一、一、數字化轉型浪潮催生數字化轉型浪潮催生 APIAPI 高速發展高速發展 .1 1 (一)API 發展歷程.1 1.單體架構.2 2.分布式架構.3 3.SOA 架構.4 4.微服務架構.4 5.Serverless 架構.5 6.Cloud Native 云原生架構.6(二)數字化轉型帶來云原生的發展.6 1.云原生賦能政企數字化轉型.7 2.云原生成為驅動業務增長的重要引擎.7 3.云原生是下一代云計算的技術核心.7(三)API 成為資

5、源連接利器.8 1.API 是云原生架構的技術核心之一.8 2.數字化轉型依賴 API 整合能力.8 3.API 成為企業發展的戰略需求.9(四)API 成為政企數字化轉型的核心能力.9 1.API 是一種核心能力.9 2.API 化是一種必然的趨勢.10 3.API 是企業的核心數字資產.10 二、二、APIAPI 爆發式增長催生新的安全挑戰爆發式增長催生新的安全挑戰 .1010 (一)API 防護缺失已成數據安全最大風險敞口.10(二)API 安全面臨的主要安全問題.12 1.缺乏可見性.12 2.攻擊面增加.13 3.多種攻擊隱患.15 4.敏感數據泄漏.17 三、三、圍繞圍繞 APIA

6、PI 安全構建全新數據安全體系安全構建全新數據安全體系 .1818 (一)場景變化帶來的防護難點.18(二)新技術、新業務帶來的防護難點.18(三)API 格式的多樣性、復雜性面臨的防護難點.19(四)傳統防護手段無法應對 API 安全風險.19 四、四、APIAPI 安全防護要求與建議安全防護要求與建議 .2222 (一)持續構建發現能力.23 1.API 資產發現與管理.23 2.API 漏洞發現.24 3.API 濫用發現.24(二)持續構建檢測能力.24 1.針對 API 漏洞攻擊檢測.24 2.邏輯異常攻擊檢測.24 3.異常行為檢測.24 4.數據異常流轉及泄漏檢測.25 5.失陷

7、主機檢測.25(三)持續構建防護能力.25 1.認證授權體系.25 2.訪問控制.26 3.加解密能力.26 4.API 限流限速.26(四)持續構建響應能力.26 1.漏洞管理與響應.26 2.威脅分析與處置.26 3.威脅預警能力.27 五、五、結束語結束語 .2727 API 安全能力建設桔皮書 奇安信集團 股票簡稱：奇安信 股票代碼：688561 第 1 頁，共 27 頁 一、數字化轉型浪潮催生 API 高速發展 API（Application Programming Interface，應用程序接口）是一種計算接口，定義了軟件之間的數據交互方式、功能類型。隨著互聯網的普及和發展，AP

8、I 從早期的軟件內部調用的接口，擴展到互聯網上對外提供服務的接口。調用者通過調用 API，可以獲取接口提供的各項服務，而無須訪問源碼，也無須理解內部工作機制的細節。(一一)APIAPI 發展歷程發展歷程 API服務的發展歷程可以看作企業數字化過程中系統集成需求不斷變化的過程。21 世紀初期，隨著 ERP、CRM 等企業內部管理系統的普及，各類系統沉淀了海量的關聯數據，基于早期的數據庫和 HTTP1.0 通信協議，API 在企業內部數據打通后開始嶄露頭角，系統集成進入 API1.0 時代。2007 年前后，隨 Web2.0 時代到來，企業信息和資源跨出企業內API 安全能力建設桔皮書 奇安信集團

9、 股票簡稱：奇安信 股票代碼：688561 第 2 頁，共 27 頁 部，各企業系統不再是孤立狀態，系統資源和數據的整合需求也擴散至外部，進而出現了 UDDI 技術規范和基于 SOAP 協議的 API 接口，系統集成步入 API2.0 時代。2015 年后，云服務主導了企業服務市場，大型企業在內部系統集成理順的基礎上，將企業核心資源以帶有適當安全和監管措施的“API+云服務”形式向合作伙伴、客戶、乃至普通大眾輸出?；诖?，RESTful API 開始被大量應用，API 服務正式步入 3.0 時代。在 API3.0時代，客戶和普通大眾可以利用企業通過 API 輸出的資源來完成各自的產品和服務的開

10、發，最終延伸出龐大的價值鏈。在云技術與容器技術興起之前，單體架構一直是構建應用程序的主流架構，然而這兩種技術的興起，為企業快速部署項目以及持續集成帶來了很大便利。伴隨著容器技術與云技術的發展，微服務已成為高速增長公司中構建應用程序的首選。1.單體架構單體架構 在應用程序發展的早期，大部分軟件項目是將所有的服務端功能模塊打包到單個巨石型（Monolith）應用（典型的三級架構，前端(Web/Wap/APP)+中間業務邏輯層+數據庫層。這是一種典型的 Java Spring mvc 或者 Python Django 框架的應用）中，如很多企業的 Java 應用程序打包為 war 包然后發布到 To

11、mcat 中，其架構圖如下所示：API 安全能力建設桔皮書 奇安信集團 股票簡稱：奇安信 股票代碼：688561 第 3 頁，共 27 頁 2.分布式架構分布式架構 分布式架構是單體架構的并發擴展，將一個大的系統劃分為多個業務模塊，業務模塊分別部署在不同的服務器上，各個業務模塊之間通過接口進行數據交互。數據庫也大量采用分布式數據庫，如：Redis、ES、solor 等。通過 DNS&LVS/Nginx/F5 負載均衡處理器（DNS 是用于實現地理級別的負載均衡，而 Nginx&LVS&F5 用于同一地點內機器級別的負載均衡。其中 Nginx 是軟件的 7 層負載均衡，LVS 是內核的 4層負載

12、均衡，F5 是硬件做 4 層負載均衡），將用戶請求均衡地負載到不同的服務器上。相對于單體架構來說，分布式架構提供了負載均衡的能力，大大提高了系統負載能力，解決了網站高并發的需求。其架構圖如下所示:API 安全能力建設桔皮書 奇安信集團 股票簡稱：奇安信 股票代碼：688561 第 4 頁，共 27 頁 3.SOASOA 架構架構 SOA是一個組件模型，它將應用程序的不同功能單元（稱為服務）通過這些服務之間定義良好的接口聯系起來。SOA 中的接口獨立于實現服務的硬件平臺、編程語言，采用中立的方式進行定義，這使得構建在各系統中的服務可以以一種統一和通用的方式進行交互。面向服務架構，它可以根據需求通

13、過網絡對松散耦合的粗粒度應用組件進行分布式部署、組合和使用。SOA 可以理解為：對單體架構的系統按照實際業務，拆分成功能簡單、層次清晰、可獨立部署的模塊，每個模塊之間相互獨立，通過服務治理管理這些單獨的模塊進行工作。其架構圖如下所示：4.微服務架構微服務架構 微服務（Microservices Architecture Pattern）是由 Martin Fowler 在 2014 年提出的，將單體架構的系統應用，轉化為多個可以獨立運行、獨立開發、獨立部署、獨立維護的服務或者應用的聚合，從而滿足業務快速變化及分布式多團隊并行開發的需求。如康威定律（Conways Law）所言，任何組織在設計一

14、套系統（廣義概念）時，API 安全能力建設桔皮書 奇安信集團 股票簡稱：奇安信 股票代碼：688561 第 5 頁，共 27 頁 所交付的設計方案在結構上都與該組織的通信結構保持一致，微服務與微前端不僅僅是技術架構的變化，還包含了組織方式、溝通方式的變化。微服務架構，主要是中間層分解，將系統拆分成很多小應用（微服務），微服務可以部署在不同的服務器上，也可以部署在相同的服務器不同的容器上。當前應用產生的故障不會影響到其他應用，單應用的負載也不會影響到其他應用，其代表框架有 Spring cloud、Dubbo等。其架構圖如下所示：5.ServerlessServerless 架構架構 Serve

15、rless 架構能夠讓開發者在構建應用的過程中無須關注計算資源的獲取和運維，由平臺來按需分配計算資源并保證應用執行的SLA（服務等級協議），按照調用次數進行計費，有效地節省應用成本。其架構圖如下所示：API 安全能力建設桔皮書 奇安信集團 股票簡稱：奇安信 股票代碼：688561 第 6 頁，共 27 頁 6.Cloud NativeCloud Native 云原生架構云原生架構 云原生是通過構建團隊、文化和技術，利用自動化和架構來管理系統的復雜性和解放生產力。云原生（Cloud Native）的定義包含以下三個方面：應用容器化、面向微服務架構、應用支持容器的編排調度。其架構圖如下所示：(二二

16、)數字化轉型帶來云原生的發展數字化轉型帶來云原生的發展 隨著各行業數字化轉型的深入，資源彈性與簡化運維的價值是企業上云的基礎，傳統云服務已經遠遠不能適應企業的需要。API 安全能力建設桔皮書 奇安信集團 股票簡稱：奇安信 股票代碼：688561 第 7 頁，共 27 頁 1.云原生賦能政企數字化轉型云原生賦能政企數字化轉型 資源極致彈性、應用敏捷開發迭代正在發展成為云服務的新常態。因此，“火爆”的云原生也成為互聯網企業和傳統政企的共同選擇，云原生不僅掀起了云計算時代一股新浪潮，也開辟出一條企業數字化轉型的最佳路徑。隨著云原生應用深入企業各個業務場景，跨云、跨地域統一協同治理，保證一致應用體驗等

17、新的需求日漸突出。2.云原生成為驅動業務增長的重要引擎云原生成為驅動業務增長的重要引擎 云計算的發展已進入成熟期，云原生作為新型基礎設施支撐數字化轉型的重要支撐技術，逐漸在人工智能、大數據、邊緣計算、5G 等新興領域嶄露頭角，成為驅動數字基礎設施的強大引擎。伴隨全行業上云的逐步深化，企業云原生化轉型進程將進一步加速。3.云原生是下一代云計算的技術核心云原生是下一代云計算的技術核心 在傳統應用架構下，網絡流量大多是南北走向，但是到了云原生平臺時代，東西向流量占比越來越多，這對整個數據的傳輸、存儲和計算產生非常大的壓力。為了讓數據移動得更快，存儲得更多，適應更廣泛，這就要求我們需要更快速地步入云原

18、生時代。目前 CNCF（云原生計算基金會）對云原生的定義為：“云原生技術有利于各組織在公有云、私有云和混合云等新型動態環境中，構建和運行可彈性擴展的應用。云原生的代表技術包括容器、服務網格、微服務、不可變基礎設施和聲明式 API。這些技術能夠構建容錯性好、易于管理和便于觀察的松耦合系統。API 安全能力建設桔皮書 奇安信集團 股票簡稱：奇安信 股票代碼：688561 第 8 頁，共 27 頁 結合可靠的自動化手段，云原生技術使工程師能夠輕松地對系統做出頻繁和可預測的重大變更”。(三三)APIAPI 成為資源連接利器成為資源連接利器 Google Cloud 的研究顯示：為應對 2020 年的新

19、冠疫情對企業帶來的連鎖效應，近 3/4 的企業持續投入數字化轉型。這些企業當中，有 2/3 正在增加投資或完全改變戰略，想成為領先的數字型公司。1.APIAPI 是云原生架構的技術核心之一是云原生架構的技術核心之一 在微服務架構下，各個應用都被極盡可能的細分，因此它們彼此間更需要 API 來進行數據交互，API 數量出現爆發式的增長。應用微服務化開發，服務之間使用標準的 API 接口進行通信。松耦合架構會減輕因需求變更導致的系統迭代成本，為多團隊并行開發提供基礎，并加快交付速度。2.數字化轉型依賴數字化轉型依賴 APIAPI 整合能力整合能力 數字化轉型依賴于企業的整合能力，即將其服務、能力和

20、資產打包到可重復利用的模塊化軟件中。每個企業都在其系統中儲存了有價值的數據，然而要利用好這些價值，就要通過 API 的能力打破數據孤島，讓數據在不同環境中使用，包括將其與合作伙伴及其他第三方有價值的資產結合起來。即使一些系統從未設計互通能力，API 也能讓開發人員輕松訪問并組合不同系統中的數字資產，從而更好地實現整體協同。API 是軟件和軟件之間進行“對話”的最基本形式，如果將開發人員的經驗融API 安全能力建設桔皮書 奇安信集團 股票簡稱：奇安信 股票代碼：688561 第 9 頁，共 27 頁 入 API 的設計中，它們將變得非常強大，從而使開發人員能重復使用數據和系統功能來開發新的應用程

21、序。3.APIAPI 成為企業發展的戰略需求成為企業發展的戰略需求 越來越多的公司都在尋找一種相對經濟的方式使自身的 API 發揮更多的價值，希望它能拓寬自己的技術和服務生態系統。另一方面，企業也會尋找一些由別人開發的 API 來滿足自己非核心的業務需求。API 近年來已經成為企業資源互相聯結的利器，企業提供標準化的 API 給多個外部使用單位(第三方)；一個外部單位可以組合多個API 來豐富服務內容。這些開放標準的 API 加速伙伴整合以及客戶觸及率，衍生出 API 生態系統。在 IDC 發布的 2018 中國 ICT 市場預測指出:“到 2021 年，在超過一半的全球 2000 強企業中，

22、平均 1/3 的數字化服務交互都將來自API 開放生態系統，增長勢頭遠超過其自己的客戶交互能力。開放的API 生態系統是企業數字化平臺開放重構的關鍵?！?四四)APIAPI 成為政企數字化轉型的核心能力成為政企數字化轉型的核心能力 在未來數據時代，API 是業務連接和通信的唯一入口，API 決定著數據時代的商業交易。API 將成為傳統制造業走向互聯網+的“連接器”。1.APIAPI 是一種核心能力是一種核心能力 API 可以被外部軟件技術人員理解、使用；可以被互聯網、移動端、瀏覽器通過軟件調用；企業各種資產、數據、服務、能力都可以API 安全能力建設桔皮書 奇安信集團 股票簡稱：奇安信 股票代

23、碼：688561 第 10 頁，共 27 頁 通過 API 對外開放。在未來的數據化時代，API 開放的程度，代表著一個企業的數字化建設程度。API 是系統將自身核心能力對外提供的重要方式，良好的 API 設計不僅讓外部更易用，也能幫助理清系統邊界；同時也是一個公司技術水平直接的外部體現，也能更好地展現專業性。2.APIAPI 化是一種必然的趨勢化是一種必然的趨勢 隨著無服務器應用程序的興起，后端功能越來越多地依賴 API，而不是 Web 服務器。隨著向云計算的加速過渡，API 在集成和促進云遷移方面扮演著更為關鍵的角色，尤其是第三方 API，在這方面仍處于起步階段。3.APIAPI 是企業的

24、核心數字資產是企業的核心數字資產 據統計，截至目前，全球有 2000 萬以上的開發者、超過百億的API。所有的應用程序，均需要通過 API 進行數據通信。在未來，一切皆是軟件，一切數據都可以通過 API 獲得，因此 API 是所有數據交互的關口。同時 API 也是企業核心的數字資產，是企業數據、服務輸出和獲取的唯一渠道。二、API 爆發式增長催生新的安全挑戰(一一)APIAPI 防護缺失已成數據安全最大風險敞口防護缺失已成數據安全最大風險敞口 根據 Imvision 發布的Enterprise API Security Survey報告中，80%的企業通過外部 API 提供數據訪問，企業利用的

25、 API 多種API 安全能力建設桔皮書 奇安信集團 股票簡稱：奇安信 股票代碼：688561 第 11 頁，共 27 頁 多樣，其中內部 API 的使用最普遍，即組織的開發人員內部使用的API（71%的公司采取這種方式）。其次，B2B 的外部 API（組織為其業務合作伙伴開放的私有 API）占 63%，B2C 的外部 API（消費者通過移動應用程序使用的私有 API）占 53%。一般來說，80%的組織允許合作伙伴（B2B）或用戶（B2C）通過外部 API 訪問其數據。數據來自 Imvision：Enterprise API Security Survey報告 在國內，隨著 5G、云計算、物聯

26、網的快速發展，加速了 API 在各領域的應用，目前已經在物聯網、微服務、云原生等場景都得到了非常廣闊的應用。隨著5G、物聯網技術落地，人類正進入萬物互聯時代，從 IaaS 到 PaaS、SaaS，從 PC 到移動 APP、各種 IoT 設備，API 將無處不在。根據 Akamai 的一項統計，API 請求已占所有應用請求的 83%，預計 2024 年 API 請求命中數將達到 42 萬億次，但 API 安全威脅卻比API 調用增長更迅猛。API 安全公司 Salt Security 發布的State of API Security Report,Q3 2021報告指出，針對應用程序編程接口的攻

27、擊流量正在以普通 API 流量的三倍速度增長。報告發現，安全問題在 API 項目關注的名單中名列前茅，很少有受訪者認為他們有信心識別和阻止 API 攻擊。API 安全能力建設桔皮書 奇安信集團 股票簡稱：奇安信 股票代碼：688561 第 12 頁，共 27 頁 隨著 API 在各種應用場景的廣泛，近兩年來因 API 安全問題導致的數據泄漏事件頻頻發生。國外，2021 年 4 月，Facebook 平臺上的5 億用戶數據泄漏，涉及信息包括用戶昵稱、郵箱、電話、家庭住址等信息，事后判定為某在線業務的 API 遭到誤用，導致數據泄漏；國內，2021 年 6 月，著名社交平臺 LinkedIn（領英

28、），有超過 7 億用戶數據在暗網被出售，涉及用戶的全名、性別、郵件以及電話號碼、工作職業等相關個人信息。據悉，部分數據也是通過 API 泄漏獲取。層出不窮的數據泄漏事件也給數字化轉型中的企業帶來巨大風險和巨額損失的可能性。據 IBM 數據泄漏成本報告統計，數據泄漏的平均成本為 386 萬美元；涉及超過 5000 萬條消費者記錄時，補救成本可能高達 3.92 億美元。API 承載了應用各組件間數據的流動，成為數據交互最重要的傳輸方式之一，也因此成為攻擊者竊取數據的重點攻擊對象。與此同時，由于 API 防護的缺失，組織對外暴露了哪些 API、對誰開放、API 通信中攜帶了哪些敏感數據、對方如何使用

29、這些數據等問題都未得到應有的重視。攻擊者可以通過后端業務系統漏洞、接口暴露、安全配置缺陷等直接攻擊 API 進行數據竊取，還可以利用 API 的參數組合及各參數值類型相對固定進行注入類攻擊或通過參數與用戶身份進行關聯進行越權類攻擊。面對 API 安全威脅不斷復雜化、多樣化的趨勢，政府與企業等的數字化系統正在面臨來自多方面嚴峻的安全挑戰。(二二)APIAPI 安全面臨的主要安全問題安全面臨的主要安全問題 1.缺乏可見性缺乏可見性 API 安全能力建設桔皮書 奇安信集團 股票簡稱：奇安信 股票代碼：688561 第 13 頁，共 27 頁 (1)(1)APIAPI 資產不可見資產不可見 對企業內外

30、已上線的 API 未做好全面的資產統計工作,導致企業對 API 進行安全測評時遺漏了部分資產或長期未對相關應用進行維護。一旦某類 API 框架型漏洞爆發或被黑客入侵時無法及時定位到相關應用節點,將錯過最佳的應急響應時間。(2)(2)APIAPI 訪問行為不可見訪問行為不可見 高頻訪問行為：高頻訪問行為：API 接口在設計之初未對 API 接口訪問頻率做限制，使部分用戶在短時間內可以訪問大量 API 接口，造成 API 接口訪問頻率過高，容易引起 API 接口不穩定等風險。此外，當訪問 API 接口時，API 接口數據緩存在瀏覽器中，容易造成大量敏感數據泄漏。大量數據下載行為：大量數據下載行為：

31、API 接口未對用戶某個時段內的下載次數、下載內容大小等做限制，導致用戶可以通過多次下載達到獲取大量數據的目的，容易造成大量敏感數據泄漏、隱私數據被販賣等危險。網絡爬蟲行為網絡爬蟲行為：如果將 API 接口開放到公網上，且未設置反爬蟲機制，則攻擊者可以使用假 IP 或修改 User-Agent 請求頭隱匿身份，通過信息收集獲取企業內部系統賬號，利用網絡爬蟲爬取賬號權限以及開放在公網上所有的 API 接口數據，導致大量數據泄漏。2.攻擊面增加攻擊面增加 隨著云計算技術的廣泛應用，越來越多的 SaaS 被遷移上云，在為更多的用戶提供服務的同時，也將 API 暴露到云上。相較于傳統數據中心的單點調用

32、，東西向和南北向都可能成為 API 的攻擊面。單體應用的場景下，入口點只有一個，所有的請求都會從這個入API 安全能力建設桔皮書 奇安信集團 股票簡稱：奇安信 股票代碼：688561 第 14 頁，共 27 頁 口點進來，在這個入口點去建立一組訪問控制或者安全防護點，就可以控制所有的風險。而在微服務場景下，業務邏輯不是在一個單一的進程里，而是分散在很多進程里。每一個進程都有自己的入口點，導致需要防范的攻擊面比原來大得多。(1)(1)缺少身份認證引入的攻擊面缺少身份認證引入的攻擊面 某些 API 在設計之初由于未充分考慮用戶群體或者具體的使用場景而未進行身份認證。身份認證的缺失導致相關 API

33、可被任意訪問，若相關 API 涉及敏感數據則會埋下嚴重的數據泄漏的隱患。(2)(2)輸入參數未校驗引入的攻擊面輸入參數未校驗引入的攻擊面 API 的參數組合及各參數值類型相對固定，這些參數也決定著API 返回的數據。若 API 未對參數值的類型進行校驗則可能會被攻擊者利用來進行注入類攻擊；若攻擊者未將參數與用戶身份進行關聯則可能會導致越權類攻擊。(3)(3)明文傳輸引入的攻擊面明文傳輸引入的攻擊面 API 未對傳輸數據進行加密設計而直接進行明文傳輸，攻擊者可通過網絡嗅探等手段直接獲取 API 的交互格式以及數據，通過對獲取的數據進行分析，并進行下一步的攻擊。(4)(4)權限設計不合理引入的攻擊

34、面權限設計不合理引入的攻擊面 水平越權，由于服務端在接收到客戶端請求數據后進行操作時沒有判斷數據的所屬對象，致使用戶 A 可以訪問到屬于同一角色的用戶B 的數據。垂直越權，由于服務端沒有設置權限控制或權限控制存在缺陷，API 安全能力建設桔皮書 奇安信集團 股票簡稱：奇安信 股票代碼：688561 第 15 頁，共 27 頁 導致惡意用戶只要猜測到管理頁面的 URL 地址或者某些用于標識用戶角色的參數信息等，就可以訪問或控制其他角色擁有的數據，達到權限提升的目的。數據權限，某些 API 在設計時為兼容多個功能會將過多的數據雜糅到一起返回至前端，然后由前端去篩選相關的數據。這導致 API 返回過

35、多的數據，攻擊者可通過流量攔截等手段獲取 API 原始返回的數據，從而存在數據泄漏的隱患。(5)(5)安全配置缺陷引入的攻擊面安全配置缺陷引入的攻擊面 安全配置缺陷是最常見的安全問題，這通常是由于不安全的默認配置、不完整的臨時配置、開源云存儲等，例如，錯誤的 HTTP 標頭配置以及包含敏感信息的詳細錯誤信息等問題所造成的。(6)(6)代碼漏洞引入的攻擊面代碼漏洞引入的攻擊面 缺乏統一規范、開發維護不當導致的安全漏洞等脆弱性因素可能為 API 帶來嚴重安全隱患。不法分子可通過安全漏洞、惡性 Bug 等因素獲取敏感信息、造成服務器失陷。(7)(7)使用易受攻擊和過時的組件引入的攻擊面使用易受攻擊和

36、過時的組件引入的攻擊面 開發過程中引入開源或第三方插件、加載庫、模塊、框架等，引用的開源軟件或模塊存在安全問題時，勢必會導致代碼中的漏洞、惡意代碼、“后門”等安全隱患被引入至 API 接口中。3.多種攻擊隱患多種攻擊隱患 (1)(1)利用漏洞攻擊利用漏洞攻擊 服務請求偽造服務請求偽造：惡意攻擊者可以利用該類型漏洞對服務所在內API 安全能力建設桔皮書 奇安信集團 股票簡稱：奇安信 股票代碼：688561 第 16 頁，共 27 頁 網環境進行探測、攻擊內網/外網中的其他應用以及讀取服務器中的敏感信息等。注入：注入：該類型漏洞通?？梢苑譃?SQL 注入、代碼注入以及命令注入等,這種類型的漏洞危害

37、性極高,可能導致的后果包括但不限于敏感信息泄漏、服務器淪陷,一旦被利用給企業帶來的損失無可估量。安全配置錯誤：安全配置錯誤：配置錯誤可以發生在一個應用的任何層面,包括平臺、Web 服務器、數據庫、容器等。比如應用報錯信息未處理直接返回給調用端導致敏感信息泄漏。認證和授權失敗認證和授權失?。河脩舻纳矸蒡炞C、身份管理和會話管理失敗，會產生與身份驗證相關的攻擊，例如：使用弱或無效的憑據恢復和忘記密碼流程、使用純文本、加密或弱散列密碼、用戶會話或身份驗證令牌在注銷或一段時間不活動期間未正確失效。失效的訪問控制失效的訪問控制：訪問控制執行策略失效，可以使用戶在其預期權限之外進行功能操作或數據訪問。策略失

38、效通常會導致未經授權的信息泄漏、修改或破壞所有數據或執行超出用戶限制的業務功能。例如：特權提升、強制以未經身份驗證的用戶身份瀏覽經過身份驗證的頁面或以標準用戶身份瀏覽特權頁面。加密失效：加密失效：可能導致用戶憑證未加密傳輸或密文容易被破解,例如傳輸層沒有使用 TLS 加密導致嗅探、中間人劫持攻擊。未授權漏洞未授權漏洞：一般是由于認證機制存在漏洞導致身份認證過程被繞過或將特權接口對外網開放以及默認開放的 API 未及時關閉等,例如:Kubernetes 的 8080 端口、Docker 的 2375 端口的未授權訪API 安全能力建設桔皮書 奇安信集團 股票簡稱：奇安信 股票代碼：688561

39、第 17 頁，共 27 頁 問等。(2)(2)其他攻擊手段其他攻擊手段 缺省口令：缺省口令：業務系統上線時，使用了廠商的缺省口令，且將業務系統對外暴露，導致攻擊者使用缺省的口令，直接登錄業務系統進行任何操作。弱口令：弱口令：弱口令存在被暴力破解、撞庫、社會工程學攻擊等風險。例如：在某些業務系統中，口令設置長度較低、復雜度不足(數字、大小寫字母、特殊字符等)即為弱口令，可用性攻擊：可用性攻擊：API 接口未對用戶或者訪問 IP 進行速率限制時，攻擊者可持續高頻地使用多個虛假用戶或者 IP 對 API 進行訪問，從而嚴重消耗服務器資源，導致其他正常用戶無法訪問相關接口。4.敏感數據泄漏敏感數據泄漏

40、 敏感信息泄漏：敏感信息泄漏：在實現 API 接口時，未對 API 接口返回數據進行前后端脫敏處理，且數據以明文形式傳輸，一旦攻擊者能夠成功截獲流量并成功破解其傳輸數據，即可獲取大量敏感信息，對企業造成巨大危害。個人信息泄漏：個人信息泄漏：若企業內部人員、用戶等將姓名、手機號、身份證號碼等個人信息直接暴露在公網上，攻擊者可能會收集這些敏感信息，用來制造社工庫，存在被釣魚、勒索等威脅。數據脫敏失效：數據脫敏失效：API 接口僅采用前端數據脫敏策略，且未對數據進行加密傳輸，極易被攻擊者截獲流量，造成數據泄漏。若前后端脫敏策略不一致，攻擊者可以通過拼接數據的方式來獲取原始數API 安全能力建設桔皮書

41、 奇安信集團 股票簡稱：奇安信 股票代碼：688561 第 18 頁，共 27 頁 據，導致脫敏失效。三、圍繞 API 安全構建全新數據安全體系(一一)場景變化帶來場景變化帶來的防護難點的防護難點 云原生關注快速開發和部署，這種特性要求進行防護模式的轉變，從基于邊界的防護模式遷移到更接近基于資源屬性和元數據的動態工作負載的防護模式，從而有效識別并保護工作負載，以滿足云原生技術架構的獨特屬性和應用程序的規模需求，同時適應不斷變化的新型安全風險。應用架構發展的 6 個過程中，傳統防護手段主要基于硬件形態部署，考慮的都是南北向的流量，而在應用技術架構高速發展的過程中，難以適應東西向、軟件化、服務化的

42、場景。(二二)新技術、新業務帶來的防護難點新技術、新業務帶來的防護難點 API 當前主要基于 HTTP/S 協議，為此傳統的 Web 攻擊防護手段仍能在一定程度上起到防御作用。比如攻擊者針對 API 接口的參數進行 SQL 注入，傳統的基于規則的檢測手法仍然有效?？紤]到 API 交互數據敏感性及提供服務的敏感性，API 安全防護方案應該在傳統安全的基礎上更加關注與數據安全、權限安全及用戶行為安全。新的安全防護模型在檢測傳統 Web 攻擊同時，還應檢測與預警API 傳輸中的敏感數據；建立基于用戶訪問行為的用戶畫像或行為模型；檢測與預警 API 未認證訪問、弱口令登錄、未授權訪問、異常訪API 安

43、全能力建設桔皮書 奇安信集團 股票簡稱：奇安信 股票代碼：688561 第 19 頁，共 27 頁 問行為等。此外，應具有基于自動化發現并可視化展示及管理 API 能力，及時發現與預警僵尸、未知等異常 API，以及避免在 API 設計之初由于缺乏統一規范導致后期大量 API 無法統一管理而引入的安全問題。新的安全防護模型還應具有高兼容性，在具體實踐時不僅兼顧用戶業務多樣化，還應在不干擾業務的前提下，通過高度可自定義及自學習等手段高度融合到用戶業務中。(三三)APIAPI 格式的多樣性、復雜性面臨的防護難點格式的多樣性、復雜性面臨的防護難點 在 API 業務發展歷程中，協議從 HTTP1.0 發

44、展到 HTTP3.0，為了適應各種業務場景，API 格式主要包含 REST、SOAP、GRPC、GraphQL、用戶自定義格式等。安全的具體實踐一直與業務緊密聯合，針對協議、格式的快速發展，傳統防護思路難以適應協議、格式的快速變化，為此，與 API 技術相適應的網絡安全方案也應考慮其作為數據傳輸載體及服務接口的本質。(四四)傳統防護手段無法應對傳統防護手段無法應對 APIAPI 安全風險安全風險 (1)(1)傳統業務特點傳統業務特點 業務、應用被 Web 化，業務系統部署在可公共訪問的 Web 服務上，有著清晰的物理和邏輯邊界；此時主要是以解決 Web 應用安全為主，整體解決方案以端、網、云的

45、縱深防護體系為主。(2)(2)未來業務發展趨勢未來業務發展趨勢 1）隨著移動化、數字化業務的使用，業務層面主要以多層架構為主，新的架構設計過程如下：API 安全能力建設桔皮書 奇安信集團 股票簡稱：奇安信 股票代碼：688561 第 20 頁，共 27 頁 第一步，結合現實情況，將系統劃分成多個層次。第二步，確定層與層之間的關系，將層與層之間的交互接口梳理出來。第三步，將功能相近的接口劃歸到一個模塊，確保模塊高內聚，對外低耦合。第四步，在此基礎上進一步明確接口的參數列表。為了更好地適應泛終端場景，同時為了解決交互的便利性，所有業務通信都被設計成 API 化。2）按照這套方法論來進行架構設計，最

46、理想的情況是將業務系統分成多層。首先應該先切在業務和領域之間，即通過 API 把兩邊解耦。交互和業務跟用戶關聯度高，經常隨需求變化而改動，而領域和資源相對比較穩定。3）考慮到要完成某些業務功能，系統可能需要調用外部系統協同完成，為了保證領域層相對穩定，我們需要隔絕外部系統或數據持久層變化帶來的影響，因此應該切在領域和資源之間。4）考慮到同樣的一個業務可能會有多套界面，例如有 Web 版、API 安全能力建設桔皮書 奇安信集團 股票簡稱：奇安信 股票代碼：688561 第 21 頁，共 27 頁 桌面版、移動版等，為了提高重用率，隔離變更，那接下來要把交互和業務切開。隨著云應用的發展、基礎設施必

47、須滿足快速、靈活的擴展，同時不影響現有業務，因此出現了微服務化、服務網格化的趨勢。(3)(3)傳統的邊界防護模型難以應對新的安全風險傳統的邊界防護模型難以應對新的安全風險 防護模型發生變化：防護模型發生變化：傳統基于邊界的防護模型已不能完全滿足云原生中 API 的安全需求，云原生關注快速開發和部署，這種特性要求進行防護模式的轉變，從基于邊界的防護模式遷移到更接近基于資源屬性和元數據的動態工作負載及 API 暴露面的防護模式，從而有效識別并保護工作負載，以滿足云原生技術架構的獨特屬性和應用程序的規模需求，同時適應不斷變化的新型安全風險。防護維度發生變化：防護維度發生變化：隨著微服務的增多，暴露的

48、端口和 API 接口數量也急劇增加，進而擴大了攻擊面，且微服務間的網絡流量多為東西向流量，網絡安全防護維度發生了改變。微服務通信依賴于 API，隨著業務規模的增大，微服務 API 數量激增，惡意的 API 操作可能會引發數據泄漏、越權訪問、中間人攻擊、注入攻擊、拒絕服務等風險；最后，微服務治理框架采用了大量開源組件，會引入框架自身的漏洞以及開源治理的風險。(4)(4)APIAPI 安全防護體系變成全新的形態安全防護體系變成全新的形態 傳統業務承載體是以網絡通信和網絡協議為基礎，通信載體以路由、交換為主體；安全防護體系的技術基礎是以網絡協議為主體，以端、網、云為邊界的縱深防御體系。在數據安全領域

49、，以 API 為業務API 安全能力建設桔皮書 奇安信集團 股票簡稱：奇安信 股票代碼：688561 第 22 頁，共 27 頁 載體，API 等同于傳統業務場景下的網絡協議。在以 API 為載體的業務場景下，因為 API 直通業務系統內部，因此系統的暴露面被無限放大，攻擊手段也隨之發生變化，因此傳統的安全防護體系以及防護技術無法解決新的安全問題。網絡安全時代，攻擊者以破壞為主；數據安全時代，攻擊者以竊取和盜取數據為主，因此安全的可視化、行為可視化、API 之間業務關系可視化、API 資產可視化是需要解決的主要問題。無論是在南北向還是東西向要縮小 API 暴露面、關閉攻擊面，必須以上做到 4

50、個可視化。由于微服務和服務網格化的特點，要想解決以上問題，安全要做到和業務緊密結合，同時在部署形式上又要能夠解耦。因此只能通過內生安全的形式去解決數據安全領域中的 API 安全問題。四、API 安全防護要求與建議 在云計算和大數據時代，網絡安全邊界逐漸瓦解，內外部威脅愈演愈烈，導致傳統的邊界安全架構正在失效，面對如此嚴峻的“內憂外患”，安全思維和安全架構亟需進化，數據安全中的 API 安全應不斷地創新與迭代，建設真正意義上的、更滿足數據安全體系下的 API安全解決方案 企業應基于業務場景的人、流程、訪問、環境等多維的因素，對信任進行評估，并通過信任等級對權限進行動態調整，這是一種動態自適應的安

51、全閉環體系。API 安全建設的落地需要結合現狀和需求，以零信任的核心思想API 安全能力建設桔皮書 奇安信集團 股票簡稱：奇安信 股票代碼：688561 第 23 頁，共 27 頁 設計 API 的安全能力和組件，并嵌入到業務體系，構建自適應的內生安全機制，建議在業務建設之初進行同步規劃，進行安全和業務的深入聚合。API 安全解決方案應按照持續“發現”、“檢測”、“防護”、“響應”的安全模型進行安全建設。(一一)持續構建發現能力持續構建發現能力 1.APIAPI 資產發現與管理資產發現與管理 (1)(1)APIAPI 自動發現能力自動發現能力 API 發現能力是 API 提供者和黑客之間的競賽

52、，他們在發現 API時很容易利用這些 API。要在攻擊者之前發現 API，可以挖掘 API 流量元數據。這些數據是從 API 安全網關、負載平衡器或直接內聯網絡流量中提取的。(2)(2)APIAPI 資產管理能力資產管理能力 對 API 進行深度的資產梳理和發現，對于幫助安全團隊了解不同應用程序使用的 API 以及 API 對應的業務屬性。API 安全能力建設桔皮書 奇安信集團 股票簡稱：奇安信 股票代碼：688561 第 24 頁，共 27 頁 2.APIAPI 漏洞發現漏洞發現 (1)(1)自身業務漏洞發現自身業務漏洞發現 隨著攻擊面的變化及攻擊者手段的隱秘多變，企業應建設持續挖掘、收集

53、API 相關漏洞的能力和機制，并做好補丁管理。(2)(2)第三方組件漏洞發現第三方組件漏洞發現 企業應在引入第三方組件時充分考慮組件自身安全，避免第三方組件引入的漏洞。3.APIAPI 濫用發現濫用發現 在 API 運行時加強外部風險感知能力和風險阻斷能力的建設尤為重要，這樣才能夠及時準確地感知到 API 的任何濫用情況，并及時阻斷攻擊者的進一步行動。(二二)持續構建檢持續構建檢測能力測能力 1.針對針對 APIAPI 漏洞攻擊檢測漏洞攻擊檢測 企業應通過攻擊檢測技術持續檢測針對 API 漏洞的攻擊行為，并通過大數據分析技術及人工智能技術對攻擊告警進行攻擊事件還原和攻擊溯源。2.邏輯異常攻擊檢

54、測邏輯異常攻擊檢測 企業應構建 API 調用鏈可視化能力，將請求經過的每一個節點都記錄下來，形成一個完整的調用鏈監控系統。一旦發生請求調用異?；蚧厮莅踩录r，即可清晰定位到具體環節。3.異常行為檢測異常行為檢測 API 安全能力建設桔皮書 奇安信集團 股票簡稱：奇安信 股票代碼：688561 第 25 頁，共 27 頁 企業應構建異常行為可視化能力，基于可擴展的行為檢測模型，實現對異常高頻訪問行為、異常數量級數據訪問行為、異常時間訪問等異常行為實現全面可視化。4.數據異常流轉及泄漏檢測數據異常流轉及泄漏檢測 (1)(1)敏感數據識別敏感數據識別 企業應進行數據分級分類治理，并通過技術手段對

55、API 訪問的數據進行持續監測評估，自動梳理 API 接口中的敏感數據流并生成 API接口與敏感數據映射，確保個人隱私數據、商業數據以及其他敏感數據進行持續監控。(2)(2)數據流轉檢測數據流轉檢測 企業應構建全面的數據流轉監控，通過識別各種類型的 API，對API 的傳輸內容進行還原、對其傳輸內容進行精細化檢測來達到“誰通過什么方式的 API，傳輸了什么類型的敏感數據”的檢測效果，實現敏感信息流轉可視化。5.失陷主機檢測失陷主機檢測 企業應構建威脅情報檢測能力，通過檢測分析手段，快速定位攻擊行為，并對攻擊行為進行溯源，做到在攻擊行為產生惡劣影響之前及時感知已失陷的主機，從而做到提前預警及快速

56、響應，以降低惡意攻擊行為對內網造成更多的影響和損失，及時止損。(三三)持續構建防護能力持續構建防護能力 1.認證授權體系認證授權體系 API 安全能力建設桔皮書 奇安信集團 股票簡稱：奇安信 股票代碼：688561 第 26 頁，共 27 頁 企業應基于零信任安全架構構建防護體系，實現統一的認證授權，對所有的 API 內部、外部訪問執行可信認證策略。2.訪問控制訪問控制 認證成功后，還需針對不多的應用執行不同的訪問控制策略，并提供完整的訪問控制日志。3.加解密能力加解密能力 企業應對敏感信息的交互進行加密，在整個業務流量交互過程中，特殊的敏感信息需要被加密或做脫密處理，例如身份證號、部分姓名，

57、銀行卡號、交易號等，以減少敏感信息的泄漏風險。4.APIAPI 限流限速限流限速 企業應對 API 請求執行一定的限流策略，考慮到系統的處理能力，需要對 API 請求做一定的限流防護。此類場景可以用于緩解基于 API的 DDoS 攻擊，有效防止資源消耗在無意義或惡意的 API 請求上。(四四)持續構建響應能力持續構建響應能力 1.漏洞管理與響應漏洞管理與響應 企業應構建漏洞管理與響應機制，需建設持續挖掘、收集 API 相關漏洞的能力來實現漏洞可視化，并做好補丁管理，以此來應對不斷變化的攻擊面及隱秘多變的攻擊手段。2.威脅分析與處置威脅分析與處置 企業應構建威脅分析與處置能力，需要具備將所有威脅

58、日志轉發至統一的大數據分析平臺，結合業務與應用部門的數據，實現對所有API 安全能力建設桔皮書 奇安信集團 股票簡稱：奇安信 股票代碼：688561 第 27 頁，共 27 頁 API的統一監控與威脅事件感知，以達到可快速處置威脅事件的目的。3.威脅預警能力威脅預警能力 在數據安全空間，攻擊、竊密團伙發展出多元化、不同目的、不同量級的攻擊/竊密反饋、持續定點攻擊/竊密、攻擊意圖等特征。企業應具備在攻擊或竊密事件發生前具備預警能力，進而提前預防、及時響應?？蓮臉I務流量中細化攻擊的行為結合攻擊者歷史情報信息對攻擊者的資源、手法、意圖、團伙情況、潛在目標進行關聯跟蹤分析，進而構建攻擊者情報庫，對攻擊

59、者進行持續跟蹤。五、結束語 隨著對 API 安全問題逐步重視、國家陸續出臺多部數據接口有關的標準規范，對數據接口在不同領域的應用、部署、管理、防護進行了規范，API 安全技術也得到大力發展，當前常見的技術從功能上看包含了 API 發現、API 身份與訪問控制、API 消息安全、API 傳輸安全、威脅緩解、API 威脅檢測、API 安全審計、API 監測與跟蹤、API管理等幾個方面。為筑牢 API 安全基礎，企業應著眼長遠構建前瞻性的云原生架構，應面向微服務和容器環境對 API 進行管理與安全防護，從實戰化角度進行 API 安全防護體系的建設，將安全落實到 API 全生命周期管理的各個環節，構建具有更好的 API 可見性和 API 安全檢測與響應體系。