API成为Web应用防护的下一个焦点
IDC在2022年发布了中国数字化转型十大预测,其中应用现代化与敏捷业务战略里,都涉及到了一个不可忽视的主角——API。在应用开发阶段,API是标准的业务接口;在对接第三方服务时,API则是较为常见的选择;在微服务架构中,微服务间的通信促使API已然成为标配。未来,随着企业选择敏捷业务战略的方式发展,会将更多的精力投入在业务,而非基础能力建设,研发体系、商务模式的改变都将接踵而至。企业将会开发、上线更多API对系统内外部赋能,同时采购更多的第三方细分能力的解决方案。API在未来将无处不在,也将成为应用安全领域除WEB应用外的下一个核心保护对象。
API安全主要由三部分组成 —— API发现、访问控制以及威胁防御。由于API发现涉及到设计、编码及整体网络部署,且需要具备主被动识别能力,较小的篇幅无法展开,我们后续详细阐述。本文将就访问控制与威胁防御两点,阐述绿盟科技在下一代WEB应用防护体系建设的思考与方案。
API脆弱性加剧了网络攻击风险和业务风控难度
API自身的无状态性、对请求中资源的可识别性、删除/修改服务端资源的可操作性、以及服务端返回的足够详细的信息所带来的资源暴露面的扩大等,这些脆弱性成为API被攻击的天然漏洞,都促使API的攻击数量呈指数级增长。
面对如此之多的API攻击,OWASP组织就关注度最高的API风险,总结出了OWASP API Security TOP 10,一方面体现出当前最常见的API问题;另一方面,也对API的开发及安全人员给出有效指导,更加有针对性的实施安全策略。
API安全是落在Web安全的范围内,但基于API的使用特性,API安全落脚点更为精细与聚焦。例如在API TOP 10中关注较高的,像A1和A5都主要是授权相关(eg,横/纵向越权),A2和A4中表现出的场景大多是与自动化工具的利用相关(eg,账号接管、暴力破解、资源滥用、DDoS),与Web TOP 10相比API TOP 10的关注点有着与API使用特性较为明显的关联与倾斜。站在企业用户视角,TOP 10的API安全风险组合后所带来的业务威胁影响,将会大大影响安全体系的设计理念。
Source:API安全管理论坛
(1)面对业务创新的驱动,保障业务快速发布的同时,如何保障安全同步?
(2)如何判断未被WAF阻断的正常请求中,哪些是常规业务请求,哪些是恶意调用?
(3)如何避免拖库事件的发生?用户的账号、手机号、密码、交易记录等敏感信息的泄露,会导致直接的社会负面影响及触犯监管法规的要求。
(4)如何对业务访问进行识别,避免薅羊毛、批量注册一类恶意事件的发生?
(5)如何对现有API资产进行梳理?如何对发起调用的客户端进行权限确认,是否存在横、纵向越权带来的主机失陷的严重后果?
(6)如何进行业务API管理,避免废弃、内部API不会被攻击者发现及利用?
(7)内部API之间的调用常态化,内部环境被暴露的风险显著提高,如何避免内部遭受攻击,以及一旦发生攻击后,如何进行范围控制,避免做为跳板实施全盘失陷的严重后果?
解决API问题,首要的是将API安全定位于一个新的防护对象,而非仅仅保护网站中的API
防护对象的扩展,攻击手段的工具化,恶意行为趋于合法化,攻击侧重点从漏洞利用,到资源滥用、访问控制,以及持续增长的未被纳入管理的API接口,都需要我们对安全架构进行升级,需要在原有WAF能力的基础上,添加API识别能力、防护能力、Bot管理能力,同时提供接口,支持便捷、自动化的API防护对象导入、上传,以达到覆盖更全面的使用场景。
我们将上述的目标,拆分为两个方向——技术层面(防护能力),业务层面(适配能力)。
技术层面
我们面临的威胁主要有Web漏洞利用、资源滥用、资源访问控制,对应的防护能力下,应该具备WAF、API发现、API访问控制、API威胁防护、Bot防护和Bot画像多项能力。
API做为承载业务的基石,实现其资产梳理、敏感数据分类、合规检测,可以辅助用户有效的实现访问控制;调用资源管控,配合Bot检测有效地规避滥用场景。而威胁检测、权限控制,则可在漏洞利用防护的基础上,进而补充业务逻辑防护,更有效的进行业务风险评估与加固。
识别Bot,识别恶意Bot,进而识别善于伪装的高级Bot,是所需要考虑的第一层面。基于Bot行为,分析Bot意图,评估业务面临的风险并进行预警,对Bot进行溯源追踪、聚类分析,一方面可以更加有效的帮助企业客户及时发现问题,针对性的进行安全策略的调整与业务加固;另一方面,生产并共享Bot情报,为后续Bot的变身出现,做到先于攻击行动前进行发现。
业务环境适配层面
1、按基础环境:面对客户场景不同的业务组件,需灵活接入;
2、按上云节奏:客户本地、云端、多云部署业务,需统一管控;
3、按业务发展:先进技术云原生、微服务,需轻量适配;
4、按暴露面:确保所有对外的API流量,持续注册在威胁防护设备上;
防护对象、防护场景、防护能力的变化,绿盟科技推出下一代WEB安全防护解决方案
在2021年,Gartner 正式将Web Application API Protection(WAAP)定义为Web Application Firewall(WAF)市场的下一阶段,将WAF能力扩展为4个核心功能特性:WAF、DDoS防护、Bot管理和API防护。[4]
我们从企业客户在API风险中遭遇最多的“漏洞利用”问题出发,选择与之对应的防护能力WAF为出发点,提供包含DDoS防护、Bot流量管理、WAF、API防护于一体的下一代WEB安全防护解决方案,保障用户的Web应用防护及API安全防护。后文我们引用Gartner对于该解决方案的简称WAAP进行方案介绍。
横向扩展覆盖更全用户场景,对外解决身披“合法身份”进行账号接管、黄牛党、薅羊毛这些引发敏感数据泄露、业务负载大,造成客户经济、声誉双重受损的问题;对内帮助客户梳理API资产,分类安置,基于不同的API类型,按行为、按权限、按上下文逻辑,在合规检测的基础上、解决API越权、滥用等多方面问题。
纵向延伸深挖产品领域技术,识别新问题,跟进新热点,保持前瞻性。方案的设计有以下四个维度:
维度一:单点聚焦核心能力
1、Bot防护:精准实现Bot流量识别与降噪,降低网站漏洞暴露以及业务侧攻击的风险;对攻击者意图进行深度分析、攻击者路径追踪溯源、业务风险告警与标识等,从而在提供安全保障的同时极大地减轻了客户运维成本。
国际权威机构Forrester,从技术水准、市场份额等多方面,面向全球格局对Bot管理技术进行安全厂商调研,绿盟科技做为中国安全企业代表,被列入《Now Tech:Bot Management,Q4 2021》报告。[5]
2、API防护:通过主动被动相结合的方式,辅助客户进行完善的API资产梳理;结合自动生成的API基线及导入的OAS文件,进行API合规检测;支持解析多协议流量,进行攻击流量过滤,同时关联恶意Bot行为分析,进而达到保障合法用户正常访问、拒绝非法用户访问、扼止越权访问、阻断恶意漏洞攻击、规避敏感数据泄露等风险。
绿盟科技做为中国安全企业代表,被Forrester列入最新的《Now Tech:Web Application Firewalls,Q2 2022》报告。[6]
维度二:多种产品形态,适配客户不同阶段环境
1、硬件、虚拟化都支持:多款集群方案,无论是对接F5反代不改源IP,还是插件式部署,对接Nginx不改网络拓扑,抑或是统一流量编排,面向客户不同部署环境,保障业务高稳定、高可用。
2、虚拟WAF:配合业务上云节奏,对接14种品类云平台,保障客户业务无忧上云。
3、云原生WAF:伴随应用的云原生化,将安全能力适配云原生架构,融入微服务场景。提供适配K8S、Ingress controller部署的容器化WAF,并进阶提供适配envoy服务网格架构的云原生WAF,轻量级、无感知的与微服务应用伴生,解决东西向防护需求,覆盖数千容器运维管理场景。
4、硬件、虚拟化都支持:产品能力组件化。为进行全面防护,原有产品以糖葫芦式堆叠部署,流量挨个串行解析,每个节点均为单点故障点,整体时延加长,数通层面重复加载,各自为营。通过实现安全引擎组件化,解耦隔离数通层与安全防护层,流量一次解析,按需动态加载防护能力。保障业务高稳定的前提下,提供轻量级、灵活化的防护能力。
维度三:步步为营,协同合作
1、按需组合:抗D防护,识别DDoS攻击,进行大额流量清洗。Web安全防护,面向URL、API,阻断漏洞利用攻击,进行“黑”流量清洗。Bot管理,识别自动化工具,客户端环境验证,进行“灰”流量清洗。API安全防护,识别越权、生成业务图谱,进行“白”流量辨别。
结合客户防护优先级,支持灵活组合产品能力,基于实际业务场景提供专属特色方案,保障Web应用、移动应用、API免受各种不同的攻击。
2、前后呼应:经过API网关认证后的合法身份,若被检测有攻击行为,支持与API网关联动,进行身份封禁。
3、安全左移:支持对接包含代码扫描、应用扫描后的漏洞扫描结果,针对漏洞信息,提供不同层面的智能补丁,保障业务快速发布的同时,代码加固同步配合。
维度四:可提供WAAP端侧能力,也支持WAAP平台侧服务
一体化管理的端侧能力:轻量化的docker部署,摒弃底层依赖;基于业务流量变化,动态加载安全组件数量;端侧流量统一编排,拟人化的安全配置界面(同一产品,不分数量,一处配置入口)。
多维展示的平台侧服务:面向运维,统一管控多个端侧;面向用户,用户资产风险完整性评估;汇集端侧数据,关联分析攻击信息,输出全面的攻击面像。
在客户场景下的实际应用
简而言之,面对企业用户在业务、规模的不同发展阶段、行业属性所带来的不同侧重的风险问题、不同的优先级,以及部署位置的不同,都可以结合绿盟科技的WAAP产品方案,选择贴合自身需求的方案组成与产品形态。
这里做三种场景下不同解决方案选择的简单举例:
场景一:客户合规为主,在漏洞利用防护的基础上,面临数据爬取、恶意扫描、恶意注册的困境。
解决方案:配置集Web安全、Bot管理、API安全为一体的WAF型号,或者通过WAF升级,新增Bot管理、API安全功能模块。为用户提供快速、全面的安全能力。
场景二:客户业务场景多元,如互联网电商企业、医院、国家电网,有更趋向于业务安全的薅羊毛、库存占用、恶意竞价、拖库、账号接管、黄牛党等场景。
解决方案:在已有WAF产品的基础上,可加购提供更加专业化方案的Bot管理产品(BMG),在应用安全防护的基础上,提供业务安全防护能力。
场景三:云原生环境。面向节假日,流量波动大。既有南北,也有东西向防护需求,需要防护产品更贴近业务侧,而不仅仅是在网关处,集群部署,统一运维,风险集中管控。
解决方案:打包提供WAAP端侧及WAAP平台侧能力,面向每个业务伴生发布云原生安全组件,通过最小粒度组件化的安全引擎进行进行安全能力加载,结合业务流量的变化,动态加载安全组件数量,提供统一的运维管理及业务风险管理可视化界面。
总结
随着API以及线上业务的开展,绿盟科技也将持续提升针对OWASP TOP 10 、OWASP API Security TOP 10、OWASP Automated Threats的威胁防御能力,为企业线上的数字化业务提供坚实的安全防护。后续,我们将更加深入的介绍下一代应用安全防护解决方案中的产品提供的价值及特性,期待与行业同仁一道,携手推进安全领域的进一步健康发展,共同应对应用安全防护的新挑战。
参考文献
1 State of API Security, Salt Labs Q1 2022.5.
2 The State of the Internet, Akamai.
3 Protecting Your APIs From Abuse Data Exfiltration, Cloudflare.
4 Magic Quadrant for Web Application API Protection, 20 September 2021.