首頁 > 關(guān)于我們 > 安恒動(dòng)態(tài) > 2023 > 正文

使用零信任理念來緩解OWASP API安全性威脅

閱讀量：次 文章來源：安恒信息

API形式與安全趨勢

伴隨著全球數(shù)字經(jīng)濟(jì)的浪潮，API已然成為企業(yè)數(shù)字化轉(zhuǎn)型中連接萬物的”鑰匙”，可預(yù)見API數(shù)量將爆炸式增長。與此同時(shí)，API攻擊也越來越高頻出現(xiàn)，對(duì)任何一家企業(yè)來說又需關(guān)注一項(xiàng)新的安全工程。OWASP為強(qiáng)調(diào)API安全的重要性，在2019年首次提出了API Security Top 10。后隨著安全產(chǎn)業(yè)實(shí)踐加深，于2023年發(fā)布了API Security Top 10（候選版）的內(nèi)容更新。該更新內(nèi)容進(jìn)一步強(qiáng)調(diào)了API攻擊場景與Web攻擊的差異化，突出API權(quán)限管理、資產(chǎn)管理、業(yè)務(wù)風(fēng)控及供應(yīng)鏈問題。

主要變化如下圖所示：

新舊版本對(duì)比分析

新增的風(fēng)險(xiǎn)

OWASP API Top 10 2023 新增了對(duì)敏感業(yè)務(wù)無限制訪問、服務(wù)器端請(qǐng)求偽造 (SSRF) 和 API 的不安全使用三類。

敏感業(yè)務(wù)訪問無限制（Unrestricted Access to Sensitive Business Flows）在 OWASP API 2023 年 10 強(qiáng)榜單中排名第 6，缺乏 API 完整的業(yè)務(wù)視圖往往會(huì)導(dǎo)致此問題的存在。

服務(wù)端請(qǐng)求偽造（SSRF）登上了最新的 OWASP Top 10 Web 應(yīng)用程序漏洞榜單，今年也進(jìn)入了 API Top 10 榜單。SSRF 在 2023 API 前 10 名榜單中排名第 7。SSRF 之所以能上榜，主要是由于這些年來SSRF 攻擊的顯著增加，在現(xiàn)代 IT 架構(gòu)中，越來越多的容器化組件使用 API 通過可預(yù)測的路徑進(jìn)行通信。開發(fā)人員還傾向于根據(jù)用戶輸入訪問外部資源，例如基于 URL 的文件獲取、自定義單點(diǎn)登錄 (SSO)、URL 預(yù)覽等。雖然這些功能增強(qiáng)了應(yīng)用程序的功能，同樣也使利用 SSRF 漏洞變得更加常見。

API 的不安全使用（Unsafe Consumption of APIs）是2023 年榜單中的第三個(gè)新成員，排名第 10。與用戶輸入相比，開發(fā)人員更傾向于信任從第三方 API 接收的數(shù)據(jù)，而當(dāng)依賴的第三方的API存在風(fēng)險(xiǎn)時(shí)將被攻擊者利用。

更新的風(fēng)險(xiǎn)

用戶身份認(rèn)證失?。˙roken User Authentication ）修改為身份認(rèn)證失敗（Broken Authentication），并且在 OWASP 2023 年 API 前十名列表中仍保持第二名的位置。

損壞的對(duì)象屬性級(jí)別授權(quán)（ Broken Object Property Level Authorization），在最新列表中排名第 3，結(jié)合了數(shù)據(jù)過度暴露 (API03:2019)和批量分配 (API06:2019)。這兩個(gè)漏洞都強(qiáng)調(diào)需要正確保護(hù) API參數(shù) ，以防止威脅參與者未經(jīng)授權(quán)的訪問和利用。

資源訪問無限制（Lack of Resources and Rate Limiting ）已重命名為資源消耗無限制（Unrestricted Resource Consumption）。以前，重點(diǎn)只放在漏洞上，但現(xiàn)在資源消耗無限制還強(qiáng)調(diào)了沒有適當(dāng)?shù)乃俾氏拗坪推渌Y源使用限制的后果。

刪除的風(fēng)險(xiǎn)

日志和監(jiān)控不足（Insufficient Logging and Monitoring and Injections）和注入（Injection）?已從 OWASP API Top 10 2023 列表中刪除。

零信任賦能API安全防護(hù)

以0代碼改造設(shè)計(jì)交付用戶輕量級(jí)的Agent，將API業(yè)務(wù)請(qǐng)求流量轉(zhuǎn)發(fā)至零信任API網(wǎng)關(guān)，通過流量中攜帶的身份令牌，確保每一次請(qǐng)求都是被鑒權(quán)的，確保調(diào)用是安全可靠的，且可實(shí)現(xiàn)調(diào)用中的數(shù)據(jù)動(dòng)態(tài)脫敏。通過高性能/高可用架構(gòu)設(shè)計(jì)，配合零信任各個(gè)核心服務(wù)組件/容器設(shè)計(jì)了異常狀態(tài)發(fā)現(xiàn)、主動(dòng)巡檢等功能，通過Bypass、主備故障切換等業(yè)務(wù)設(shè)計(jì)，保障了業(yè)務(wù)延續(xù)性。

對(duì)于數(shù)據(jù)擁有方在開展API業(yè)務(wù)共享開放場景，在API業(yè)務(wù)互聯(lián)網(wǎng)暴露面治理、Oday/NDay漏洞攻擊、調(diào)用身份動(dòng)態(tài)鑒權(quán)、數(shù)據(jù)分類分級(jí)管理、敏感數(shù)據(jù)識(shí)別、動(dòng)態(tài)脫敏性能等多個(gè)安全技術(shù)細(xì)分領(lǐng)域都有非常好的技術(shù)創(chuàng)新和實(shí)戰(zhàn)化價(jià)值。

零信任API網(wǎng)關(guān)對(duì)于API安全風(fēng)險(xiǎn)帶來加強(qiáng)

身份認(rèn)證失效

(Broken Authentication)

從對(duì)用戶本身的認(rèn)證，將范圍擴(kuò)展到“人機(jī)”身份保護(hù)范圍，為每一個(gè)主機(jī)調(diào)用設(shè)備提供一種加密的、可校驗(yàn)唯一性的數(shù)字身份憑證；

對(duì)象屬性級(jí)別授權(quán)失效

(Broken Object Property Level Authorization)

通過檢查入?yún)?出參以及返回響應(yīng)體，對(duì)于數(shù)據(jù)級(jí)的安全控制，保護(hù)數(shù)據(jù)泄露的風(fēng)險(xiǎn)；

資源消耗無限制

(Unrestricted Resource Consumption)

在所有傳入?yún)?shù)和有效載荷上定義并強(qiáng)制執(zhí)行數(shù)據(jù)的最大大小，對(duì)客戶端在定義的時(shí)間范圍內(nèi)與API交互的頻率進(jìn)行限制（速率限制）。限制/限制單個(gè)API客戶端/用戶可以執(zhí)行單個(gè)操作的次數(shù)或頻率；

不受限訪問敏感業(yè)務(wù)

（?Unrestricted Access to Sensitive Business Flows）

檢測出入?yún)?shù)調(diào)用字段、有效識(shí)別敏感字段，提供動(dòng)態(tài)脫敏、數(shù)據(jù)加密等多項(xiàng)能力保障敏感數(shù)據(jù)不帶走的安全目標(biāo)；

服務(wù)端請(qǐng)求偽造

(Server Side Request Forgery)

對(duì)API調(diào)用的應(yīng)用身份進(jìn)行識(shí)別以及權(quán)限的核查管控，確保身份/權(quán)限合一，根據(jù)隨請(qǐng)求上報(bào)的風(fēng)險(xiǎn)及歷史行為識(shí)別可疑操作；

缺少對(duì)自動(dòng)化威脅的防護(hù)

(Lack Of Protection From Automated Threats)

提供 DDoS攻擊、重放攻擊、SQL注入攻擊、爬蟲拖庫攻擊等通用常規(guī)攻擊防御能力；

存量資產(chǎn)管理不當(dāng)

(Improper Assets Management)

根據(jù)應(yīng)用令牌指紋、時(shí)間、頻率、行為等維度的策略限制合法用戶的附加訪問條件，可自動(dòng)檢測僵尸資產(chǎn)或者長期靜默資產(chǎn)提供主動(dòng)預(yù)警，并且通過零信任獨(dú)有的SPA技術(shù)，來實(shí)現(xiàn)資產(chǎn)TCP連接的默認(rèn)拒絕（只授權(quán)合法主機(jī)的業(yè)務(wù)請(qǐng)求設(shè)備）；