《Akamai：2024如何防范API漏洞白皮書-探索5類API漏洞及其防范方式（15頁）.pdf》由會員分享，可在線閱讀，更多相關《Akamai：2024如何防范API漏洞白皮書-探索5類API漏洞及其防范方式（15頁）.pdf（15頁珍藏版）》請在三個皮匠報告上搜索。

1、白 皮 書如何防范 API 漏洞探索 5 類 API 漏洞及其防范方式|2報告內容前言 3什么是 API 漏洞？3漏洞類型：已知漏洞 4如何防范 5Akamai API Security 如何為您提供幫助 6漏洞類型：影子 API、惡意 API、僵尸 API 和已棄用的 API 7如何防范 8Akamai API Security 如何為您提供幫助 8漏洞類型：外部暴露 9如何防范 10Akamai API Security 如何為您提供幫助 10漏洞類型：錯誤配置和操作員錯誤 11如何防范 12Akamai API Security 如何為您提供幫助 12漏洞類型：未發現的漏洞 13如何防范

2、 13Akamai API Security 如何為您提供幫助 145 種漏洞類型，5 項防范原則 |3前言API 可以幫助企業與合作伙伴、供應商及客戶交換數據，從而連通企業的各個環節。但在大多數企業中，API 安全防護仍然不夠全面。事實上，對于眾多公司來說，近年來易受攻擊的 API 已然成為眾矢之的，使得攻擊者不斷濫用它們來獲取敏感數據，然后將這些數據出售給其他攻擊者或者公之于眾。2024 年，消費者電信、企業計算和虛擬協作領域的全球眾多品牌都遭遇了 API 攻擊事件，大量客戶數據及其他敏感數據遭到泄露，造成巨大經濟和聲譽損失。什么是 API 漏洞？簡而言之，只要出現任何故意不當使用或濫用

3、API 的行為就表明存在 API 漏洞，而此類行為的目的通常是獲取敏感數據。API 漏洞的類型可以根據不同的標準進行細分。為了識別風險并避免生產運營中出現漏洞，可以考慮以下將風險分為五種類別的方案：1.已知漏洞 攻擊者會利用尚未修補的已知漏洞。2.影子 API、惡意 API、僵尸 API 和已棄用的 API 不受管理以及被遺忘的 API 會導致運營容易受到攻擊。3.外部暴露 憑據、密鑰和其他暴露可能超出了您的控制范圍。4.錯誤配置和操作員錯誤 基礎架構和服務中的安全系統配置不當可能會為攻擊者創造利用漏洞的入口點。5.未發現的漏洞和錯誤 即便您已經竭盡全力來建立安全屏障，但攻擊者仍會想方設法從生

4、產環境中找出任何可能的錯誤和漏洞。本電子書將說明這五類 API 漏洞中發生安全故障的位置以及如何進行防范。另外還將幫助您重點關注 API 安全計劃中的特定薄弱環節，以最大限度地提高 API 安全性并降低風險。|4漏洞類型：已知漏洞利用尚未修補的已知漏洞發起的 API 攻擊屢見不鮮。如果犯罪分子想要獲取您的數據，那么對他們來說，第一步往往是檢查您的企業是否留有任何后門。2024 年 1 月，某個攻擊者通過利用缺少身份驗證控制措施的 API 端點，成功入侵一款使用廣泛的項目管理工具。在入侵此 API 后，該攻擊者未經授權便訪問了數百萬用戶的信息，并且幾個月后在互聯網上泄露了超過 21 GB 的數據

5、，包括電子郵件地址和董事會成員信息。身份驗證和授權問題是最常見的 API 問題之一。OWASP 十大 API 安全風險提供了有關各企業必須防范的 10 個最嚴重 API 漏洞（包括失效身份驗證）的信息。除了保護 API 免受 OWASP 十大風險中各類風險的侵擾之外，各企業還應該保護 API 代碼，使其免受常見漏洞和風險(CVE)完整列表中相關漏洞的影響，該列表由 MITRE 運營的美國國家網絡安全聯邦資助研究與發展中心(FFRDC)編制。您可能還記得廣為人知的 Apache Log4j 2 漏洞(CVE-2021-44228)，它也稱為“Log4Shell”。Log4j 庫是一個用于 Jav

6、a 編程語言的熱門開源日志記錄庫，由于該庫中存在的一個缺陷，攻擊者能夠遠程執行任意代碼來獲取系統訪問權限。他們會定期探查企業系統中是否存在與之類似的已知漏洞。|5在美國，網絡安全和基礎架構安全局(CISA)負責維護已知 CVE 的目錄。其他國家或地區也可能維護著類似的目錄。OWASP 十大 API 安全風險列表創建于 2019 年，并于 2023 年進行了更新。盡管它很有用，卻跟不上攻擊面的變化速度。僅在 2024 年，CISA 的目錄中就新增了 24,000 多個新的 CVE，其中超過 500 個 CVE 與 API 相關（截至 2024 年 8 月中旬）。若想全面保護貴企業免受已知漏洞的影

7、響，需要雙管齊下：1.確保您的開發和測試過程足夠可靠，能夠避免將已知漏洞帶入生產環境中。2.在發現新的漏洞后，盡快修補這些漏洞。很多企業都難以完成這兩個步驟。除此之外，他們還使用來自第三方來源的 API 和代碼，這可能會帶來一些單獨的漏洞。2022 年，一個研究團隊發現了一些嚴重 API 缺陷，這些 缺陷影響了整個汽車行業中多家制造商。這些缺陷會暴露敏感的客戶數據甚至車輛的位置，使攻擊者能夠通過被入侵的遠程管理系統來解鎖、啟動汽車或使其無法運轉。如何防范貴企業要抵御已知漏洞可能造成的 API 攻擊，一個眾所周知的方法就是在安全補丁發布后迅速更新軟件和系統。另外，還必須確保您的開發和測試過程綜合

8、全面，并嚴格遵循 API 安全防護最佳實踐。其中包括：保護您的軟件供應鏈：確保您使用的所有庫、開源軟件(OSS)和其他第三方代碼都是安全的。實施左移安全測試：將與 API 安全和軟件測試相關的任務移至開發過程早期階段。這可以幫助您發現一些漏洞，例如開發人員團隊在需要快速發布軟件或更新的壓力下出現的代碼編寫錯誤和配置錯誤。利用 API 安全態勢管理：此功能將 API 發現與敏感數據識別及漏洞檢測功能相結合，可確保修復工作首先集中在最關鍵的 API 上。|6Akamai API Security 如何為您提供幫助 借助 Akamai API Security，您的團隊可以減少每個新的構建版本中的已

9、知漏洞，同時無需犧牲速度。API Security 是一個專門構建的 API 安全測試解決方案，可全面覆蓋 API 相關的漏洞。主動測試可幫助將 API 安全測試融入開發的每個階段。根據對應用程序業務邏輯的了解，尋找并測試每個 API。通過集成到整個軟件開發生命周期中來實現左移。在整個 CI/CD 流程中，團隊可以跨多個狀態和環境中獲得動態的 API 監測能力。為開發人員提供出色的可用性，包括簡單的設置和自動化、聯合測試結果以及用于修復已識別問題的情境指導。此外，API Security 的態勢管理讓您可以全面了解流量、代碼和配置，以評估您的 API 安全態勢。API Security 會盡可

10、能查看更廣泛的來源以檢測漏洞，包括日志文件、歷史流量回放、配置文件等。它還會檢測是否存在 OWASP 十大 API 安全風險中的漏洞（要詳細了解態勢管理，請參閱“錯誤配置和操作員錯誤”一節）。|7漏洞類型：影子 API、惡意 API、僵尸 API 和 已棄用的 API您無法保護看不見的資產，而在很多公司內，很大一部分 API 都不受管理，這使得影子 API、惡意 API、僵尸 API 和已棄用的 API（請參閱下一頁的側欄）成為您的 API 資產中 未被察覺或未加考慮的目標。此外，攻擊者往往會查看某個企業已暴露的 API，然后進行模糊測試或修改值以查找舊版本，從而搜尋可利用的 API 變體。這

11、正是澳大利亞一家大型電信公司的遭遇，他們意外暴露了超過 1120 萬條客戶記錄，包括姓名、地址、出生日期和政府簽發的一些身份證件號碼，因此遭受了攻擊。此次攻擊利用了一個用于測試的 API，而該 API 出于某種未知原因可通過開放的互聯網進行訪問。由于此異常 API 缺少身份驗證檢查，攻擊者乘機請求并接收數百萬條記錄。大多數企業在運營中會用到各種遺留 API 和新 API。不幸的是，很多人都會發現自己身邊存在著各種惡意 API、僵尸 API 和影子 API，而這些 API 導致企業面臨一系列網絡安全風險和運營難題。這些被忽視的 API 有各種來源：商業 API：一些商業軟件包會包含用于連接其他應

12、用程序及外部數據源的 API。這些 API 可能會被激活卻無人覺察（這是可以通過全面 API 發現解決的問題）。舊 API 版本：在很多情況下，某個 API 的舊版本可能安全防護能力較差或者存在已知漏洞，但從未被刪除。在軟件更新期間，舊版本可能需要與新版本共存一段時間，但當進程故障導致無法關閉舊 API 時，該 API 便會變為僵尸 API。走捷徑和進程故障：那些雖被創建但未告知 IT 或安全團隊的 API 就會形成影子 API。例如，某個業務線團隊可能會創建用于滿足特定需求的 API 而未告知 IT 或安全團隊，或者某個開發人員可能并未遵循相關過程。繼承的 API：因合并或收購而繼承的 AP

13、I 也經常會被忽略而成為影子 API。重新激活的代碼：在某些情況下，API 的舊版本可能會意外被重新激活。|8如何防范若想通過手動 API 審核來記錄必須準確清點的所有輸入，可能需要花費幾個小時的時間，考慮到還要評估和處理發現的每個 API，所需時間會更多。這對本已負擔過重的安全團隊來說無疑是不現實的。為了保護您的企業免受惡意 API、僵尸 API 和影子 API 被利用的影響，您需要能夠識別正在 使用的各類 API 的自動化 API 發現功能。然后通過它來找到并清點您的整個運營過程中的每個 API，并且發現不受 API 網關管理的 API 和 API 域，這對您至關重要。Akamai API

14、 Security 如何為您提供幫助 API Security 會利用廣泛的集成來源來提取 API 數據，例如原始流量、日志記錄等。利用從這些來源中得到的數據，API Security 可以識別 API 及其錯誤配置和漏洞，以及 API 濫用。我們的發現工具可以檢測是否存在 OWASP 十大 API 安全風險中的漏洞。借助附加的發現功能，您可以：找到并清點所有 API，無論配置或類型如何（包括 RESTful、GraphQL、SOAP、XML-RPC、JSON-RPC 和 gRPC）發現休眠、遺留和僵尸 API 識別被遺忘、被忽視或未知的影子域名 維護 API 清單并確保 API 文檔記錄準確

15、無誤攻擊者尋找的不受管理的高風險 API 影子 API（也稱為“未明確記錄的 API”）存在并運行于企業官方監控的渠道之外。它們可能是善意的開發人員為了加快工作速度而創建的，也可能是先前的軟件版本的殘余部分。惡意 API 是未經授權或惡意的 API，會對系統或網絡構成安全風險。僵尸 API 包含被新版本或其他 API 完全取代后仍處于運行狀態的任何 API。已棄用的 API 是由于 API 發生了 變化而不再推薦使用的 API。雖然已棄用的類、方法和字段仍處于 實現狀態，但它們可能會在未來 的實現中被刪除，因此您不應該在 新代碼中使用它們。|9漏洞類型：外部暴露外部的 API 漏洞通常由不良實

16、踐或程序錯誤所導致，例如 API 密鑰和憑據泄露、API 代碼和架構暴露、文檔管理松散和代碼庫漏洞。因此，使用合適的功能來發現運營邊界外的 潛在攻擊媒介已成為當務之急。去年，多起備受矚目的數據泄露事件就是外部來源的 API 密鑰或其他憑據遭到意外暴露所致。例如，黑客使用網絡釣魚活動對 Dropbox 的 130 個 源代碼庫進行了未經授權的訪問。這讓他們可以獲取 GitHub 上未被妥善保存的 API 密鑰。此類暴露已變得非常普遍，以至于 GitHub 不得不采取措施來阻止發生 API 密鑰和其他密文泄露，但其他公共代碼庫可能仍然容易受到攻擊。|10在另一個廣為人知的外部暴露示例中，研究人員發

17、現超過 3,000 款移動應用程序將 Twitter API 密鑰公之于眾。出乎意料的是，此類錯誤很常見，因為在開發過程中，開發人員往往會為了方便而在應用程序代碼中嵌入 API 密鑰。如果他們未能在公開發布前移除這些嵌入的密鑰，這便會成為密鑰暴露的潛在來源。如何防范減少或消除這些類型的外部暴露需要采用雙管齊下的方法：加強對相關過程的管理，以識別和消除暴露來源，例如泄露的密鑰和憑據、代碼庫的不當使用等。定期掃描外部攻擊面以檢測和修復漏洞。要保護您自己免受廣泛 API 威脅的侵擾，您同時需要由內而外的發現（如“惡意 API 造成的漏洞”一節所述）以及由外而內的發現，這可以識別暴露問題并減小您的外部

18、攻擊面。Akamai API Security 如何為您提供幫助API Security 可模擬黑客使用的偵察技術并讓您能夠快速找到并修復問題，從而幫助您搶先一步防范攻擊者的攻擊。借助由外而內的發現，API Security 會定期自動掃描您的外部攻擊面，以便在攻擊者之前找到漏洞，從而讓您可以：找到公開的漏洞：快速找到并修復關鍵問題，如 API 密鑰和憑據泄露、代碼暴露、錯誤配置、代碼庫漏洞等。發現與貴公司相關的域名和子域名：利用從各種來源（包括互聯網注冊商、證書 注冊商以及開放來源）收集的數據。融入真實的攻擊方法：模仿攻擊者進行外部偵察，通過執行對公司域名或子域名的有限查詢來收集相關信息。|

19、11漏洞類型：錯誤配置和操作員錯誤很多網絡攻擊者會利用服務器、網絡、API 網關以及防火墻（用于代理和保護 API 流量）的錯誤配置來實施入侵。IBM Security X-Force 進行的一項研究發現，三分之二的云漏洞都與錯誤配置的 API 相關。導致安全系統錯誤配置的原因可能包括不安全的默認配置、沒有訪問控制的云存儲（出人意料地常見）以及不完整或臨時的配置。隨著您的數字足跡不斷擴大，您的運營可能會擴展到更多位置，包括多個公有云可用區域或 AWS、Microsoft Azure 和 Google Cloud 等公有云。這些環境往往在不同的安全控制措施下運行，這使得 確保在每個地方都進行正確

20、的安全配置變得復雜且困難。|12如何防范要想從基礎架構層面有效防范安全錯誤配置，您應該盡可能地避免對服務器、網絡設備、網關和防火墻進行手動配置。如果貴公司的管理員團隊定期手動配置基礎架構和應用程序安全控制措施，也就是定期“調整”它們，則引入配置漏洞的幾率會增加。在安全方面，自動化是您最好的朋友。為避免人為錯誤，部分公司開始接受不可變基礎架構的理念。即使您已盡己所能，采取了一切措施來確?；A架構、服務和 API 萬無一失，您仍然需要 API 態勢管理。態勢管理為您提供了用于在 API 整個生命周期中管理、監控和保持 API 安全性的工具。API Security 如何為您提供幫助API Secu

21、rity 的態勢管理模塊可以分析 API 調用和基礎架構，以識別是否存在錯誤配置。這些錯誤配置通常是 Amazon S3 存儲桶問題、與未經身份驗證的 API 相關的敏感數據以及不同的基于 Kubernetes 訪問權限的錯誤配置。態勢管理模塊可讓您全面了解流量、代碼和配置，并讓您可以了解跨 API 和 Web 應用程序的整個攻擊面，包括通過 API 移動的所有形式的敏感數據，例如個人身份信息。它還可以幫助您確認 API 管理工具是否正在使用安全系數高的協議和密碼，從而避免使用可能會暴露這些敏感數據的弱加密。此外，API 不得接受過期的 JSON Web 令牌，因為這樣做會允許未經授權的訪問并

22、增加安全風險。此模塊還可以幫助避免出現錯誤配置，例如應用程序負載均衡器在沒有重定向的情況下偵聽不安全的端口。所有這些措施可以共同增強 API 的安全態勢，從而確保對潛在威脅的防御措施具備更強的恢復能力。|13漏洞類型：未發現的漏洞和大多數漏洞類型一樣，網絡犯罪分子會定期掃描您的基礎架構以尋找 CVE、OWASP 十大 API 安全風險和其他常見錯誤配置，以及惡意 API、僵尸 API 和影子 API。他們還會探查您的已暴露的 API，查找可在庫、開源代碼和其他類型的公共代碼中利用的新漏洞，以及您的 API 資產中是否存在可以利用的代碼編寫錯誤、缺陷及錯誤配置。這些漏洞讓網絡犯罪分子能夠操縱 A

23、PI 調用并將模糊測試字符串插入請求中。因此，網絡犯罪分子使用的技術也在不斷地演進變化。如何防范要防范此類漏洞，務必盡可能地確保您的代碼沒有錯誤和漏洞（請參閱“已知漏洞”一節）。但是，您仍然應該假設攻擊者會發現缺陷或者獲得讓他們能夠利用 API 的密鑰或憑據。API 運行時保護旨在識別利用任何已知或未知漏洞的黑客。只有這樣，才能保護您的 API 資產，使其免受先前未識別而進入生產環境中的缺陷和錯誤配置的影響，并且這也是防范已遭到泄露的憑據和密鑰的最佳保護措施。運行時保護可以識別出 API 使用和數據訪問中的異常模式和異常，從而可以在數千或數百萬條數據記錄被提取之前，發現并修復可能未被察覺且正在

24、進行的攻擊。API 運行時保護可幫助您識別并攔截惡意 API 請求，包括：從 API 中提取大量敏感數據的攻擊 失效的對象級授權(BOLA)攻擊API 運行時保護解決方案可以檢測：數據泄漏 數據政策違規 API 安全攻擊 數據篡改 可疑行為此外，運行時保護還會記錄 API 流量、監控敏感數據訪問、檢測威脅以及屏蔽或修復攻擊媒介。|14API Security 如何為您提供幫助您可以將運行時保護作為最后一道防線，以便彌補其他 防范措施的缺失。運行時保護的主要作用是實時檢測并阻止 API 攻擊?；谧灾鳈C器學習(ML)的監控功能用于執行實時流量分析，并提供對數據泄露、數據篡改、數據政策違規、可疑行

25、為和 API 安全攻擊的情境洞察。API Security 可檢測出您的 API 流量中存在的 異常和潛在威脅，并根據預先選擇的事件響應策略來幫助進行修復。通過使用 ML，API Security 可以為每個 API 構建一個行為模型。然后，可以將此正常行為基準用于檢測 API 業務邏輯攻擊。運行時保護生成的每個問題都包含嚴重性、狀態、與 OWASP 十大 API 安全風險的對應關系以及攻擊者詳細信息（如果適用）。這些問題還包含攻擊者的會話詳細信息以及 API 請求和響應的副本等證據，以幫助對問題進行分類和修復。除了很多用于簡化操作和修復的常用工作流集成之外，API Security 運行時保

26、護還可以實時檢測和防范 API 攻擊并且持續檢測是否存在 API 錯誤配置。對您的團隊來說，可能最好的消息是 API Security 可以與 WAF、API 網關、ITSM、SIEM 及其他工作流工具相集成，以提供全面的攻擊防御措施。您可選擇以全自動的方式完成威脅修復，也可以要求進行不同程度的人工干預來實現更強的監測能力和控制。|15Akamai Security 可為推動業務發展的應用程序提供全方位安全防護，而且不影響性能或客戶體驗。誠邀您與我們 合作，利用我們規模龐大的全球平臺以及出色的威脅監測能力，防范、檢測和抵御網絡威脅，幫助您建立品牌信任度并實現您的愿景。如需詳細了解 Akamai

27、 的云計算、安全和內容交付解決方案，請訪問 和 年 11 月。5 種漏洞類型，5 項防范原則您已經詳細了解了網絡犯罪分子如何使用 API，接下來可以集中精力進行防范。在遇到相關漏洞時，您可以將以下五種防范工具及策略觀點結合起來運用：1.將 API 安全防護左移 將 API 安全防護左移意味著需要在開發中進行廣泛測試，這樣就不會在生產環境中暴露漏洞，讓進行探查的網絡犯罪分子失去可乘之機2.由內而外的發現 識別整個運營環境中的所有 API3.由外而內的發現 識別并消除暴露來源，例如泄露的密鑰和憑據以及代碼庫的不當使用，并且定期 掃描外部攻擊面以檢測和修復漏洞4.全面的態勢管理 通過避免出現錯誤配置和漏洞，始終在 API 安全方面保持最佳狀態5.運行時保護 檢測異常的 API 活動并防范所有可能的威脅，包括先前未識別的漏洞和缺陷申請演示觀看 Akamai API Security 的實際應用，體驗如何輕松識別并修復 API 中的錯誤配置以及如何保護自己免受惡意 API 攻擊。親自了解為何出色的企業選擇我們的 API 安全解決方案。申請演示掃碼關注-獲取最新云計算、云安全與 CDN 前沿資訊