流量反作弊(5)Gartner-Innovation Insight for API Protection

[Published 10 October 2022]

Web API流量和攻击的数量和严重程度都在增长。新方法通过特定的API安全功能补充了传统的web应用程序安全措施。安全和风险管理领导者应确定何时寻求这种额外的保护。

主要发现
  • 安全领导者正在寻找额外的安全功能来保护他们的API。他们正在扩展现有的API网关(GW)、web应用程序和API保护(WAAP)解决方案,尤其是在具有高安全要求的行业垂直领域。
  • Gartner客户在询问过程中最关心的问题包括个人数据盗窃、账户接管和自动内容抓取
  • API保护创新保护web API免受攻击、滥用、访问违规和拒绝服务(DoS)攻击。
  • API保护产品提供三种主要类型的功能-发现、姿态管理和运行时保护
推荐

为了保护其API,安全和风险管理领导者应:

  • 从发现和分类您的API开始。执行威胁建模,以确定减轻风险所需的特定安全机制。
  • 评估当前WAAP或API网关提供的API保护。如果您的风险缓解需要额外的API保护,请调查能够提供额外保护层的API安全专家。
  • 通过使用内部安全操作中心(SOC)或托管服务,解决行为异常检测可能产生的安全分析工作负载。
  • 执行应用程序安全测试(AST)或渗透测试练习,以发现可能隐藏的业务逻辑问题。
战略规划假设

到2025年,将管理不到50%的企业API,因为API的爆炸性增长超过了API管理工具的能力。

到2025年,至少70%的组织将只为其生产的公共API部署专门的运行时保护,而其他API则不受监控,缺乏API保护。

到2026年,40%的组织将选择基于高级API保护和web应用程序安全功能的web应用程序和API保护提供商,而今年这一比例不到15%。

一、说明

随着API流量的增长,API安全性越来越受到关注。Web API互连应用程序,并成为企业数字化转型的核心。在生成和公开web API时,组织被调用来定义它们与其他实体(如合作伙伴和客户)的通信方式。缺乏使这些通信标准化的最佳做法。组织构建的API通常是导致高可见性漏洞的原因。

许多组织保护API流量的方式与保护其遗留应用程序的方式相同。由于通信量的不同结构(例如,JSON有效负载),或者由于API事务的特性(例如,由于频率高),通用应用程序安全控制可能表现不佳。特别是在安全要求很高的垂直行业,安全领导者正在寻找额外的安全功能来保护他们的API。在这项研究中,我们探索了新兴的API安全创新,这些创新将帮助组织发现其API,识别和解决漏洞,并在运行时保护API。

二、描述

定义:API保护创新保护web API免受攻击、滥用、访问违规和拒绝服务(DoS)攻击。虽然所有类型的API都可以受到保护,但通常组织最初关注的是自主开发的、面向公众的API,并为关键应用程序提供连接。这些解决方案通过结合API参数和有效负载的内容检查、流量管理,以及至少用于异常检测的流量分析,提供API安全性。

API安全创新主要由新兴的API安全供应商提出。然而,API安全功能可以作为API网关、WAAP和AST供应商扩展产品组合的一部分获得。

根据具体的体系结构,API安全解决方案可以作为服务或本地产品提供,也可以采用混合方法提供。特别地,该解决方案可能需要收集数据并将数据发送回其云以进行行为异常检测,或者可能需要完全在本地识别异常模式。大多数解决方案都不是联机解决方案。相反,它们通过与企业内的应用程序和基础架构组件集成来获取流量数据和其他信息。

  • 许多API安全产品的一个重要部分是发现API的能力。

  • 完整的API安全程序应包括开发和测试阶段的控制。大多数API保护工具都会评估API的配置错误。

三、优点和用途

Gartner客户在询问过程中表达的一些首要担忧包括个人数据盗窃(例如,利用Broken Object Level Authorization[BOLA]漏洞)、账户接管自动内容抓取(例如,价格抓取)。Gartner客户报告的一种常见情况是由后端团队提供API。其目的是只有某些前端应用程序会使用API,但攻击者绕过允许的前端应用程序,成功地直接访问了后端API。

虽然安全领导者可以使用WAAP、API GW和AST工具中的现有功能来对抗API攻击,但这种方法带来了许多挑战:

  • 安全主管通常不拥有由基础设施和操作团队(如API GW)管理的工具,AST扫描仪正越来越多地将所有权转移给应用程序开发团队。
  • API GW和WAAP安全功能可能会受到限制,具体取决于供应商。虽然一些领先的提供商已经包括了更先进的API发现和控制,但许多提供商仍局限于提供节流、安全传输和类似类型的安全策略实施。
  • 高安全性和受监管的垂直行业的安全领导者在询问能够立即提供所需功能的高级解决方案时表达了他们的愿望。

3.1 Discovery-发现

API保护产品自动创建组织已生产和使用的API的库存。有多种发现方法,但还没有一个既定的最佳实践:

  • 许多解决方案混合使用流量镜像分析和查询现有基础设施(如API GW、web应用程序防火墙[WAF]和容器平台)来发现和清点正在使用的API。对于面向公共或合作伙伴的API,初始部署步骤通常包括指示根域名。
  • 一些解决方案检查代码库和系统开发生命周期(SDLC)的其他实例。
  • 许多AST提供商使用AST技术发现API,如交互式应用程序安全测试(IAST)、网络爬行,甚至移动应用程序代码的静态分析。
  • 大多数工具还能够接收描述文件,如Swagger和GraphQL文件,然后在运行时将流量的真实性与吸收的模式进行比较(请参见注释1)。

3.2 Posture Management-状态评估

  • 一旦API保护产品清点了API,它就会对其进行错误配置评估。例如,API可以在URL中显示敏感数据,或者在不进行身份验证的情况下返回敏感数据作为响应。OWASP API安全十大问题列表中有许多最常见的问题。
  • 解决方案越来越多地试图评估每种错误配置的风险。这种能力是不成熟的,但在不断发展。我们已经看到了一些解决方案,这些解决方案试图了解API的关键性、API背后的业务逻辑、错误配置的严重性,以及可以指示或多或少风险的各种其他元素。
  • 工具也开始就如何纠正错误配置提供建议。

3.3 Runtime Protection-实时保护

API安全解决方案的第三个组件侧重于识别恶意行为的指示模式。一个典型的例子是BOLA攻击,其中传入的请求要求一个帐号的数据与API客户端进行身份验证的帐号不匹配。异常检测引擎通常使用类似攻击的数据集进行训练,并且能够识别攻击。【?】

此外,该解决方案将从API中摄取与非恶意行为相关的数据。大多数解决方案能够在相对较短的数据摄取时间后进行操作。根据解决方案以及设置解决方案的安全领导者希望的入侵程度,产品可以发出补救通知单或直接对基础设施采取行动来阻止攻击者。

四、风险

任何使用行为异常检测的创新都将不可避免地出现误报。异常行为并不总是意味着某些东西是恶意的,当前的机器学习只能在确定业务逻辑以对发现进行分类方面走得更远。如果一个组织已经有了一个实质性的SOC,这可能不会带来问题。对于其他组织来说,重要的是要有一个托管服务——无论是来自供应商本身,还是来自第三方托管安全服务提供商(MSSP)。

API安全范围广泛。用例可能会变得复杂,并不是每一个威胁都能以相同的方式得到解决。API保护最常见的用例是保护外部暴露的API。然而,安全领导者需要单独研究大量用例,以确定解决方案。例如:

  • 东西向API的内部连接可能受益于微细分;
  • 可能需要应用屏蔽的移动应用场景;
  • 开放银行和其他API集成用例可能在API网关和iPaaS(平台即服务集成)中找到基础,重点是访问控制。

安全人员应该进行威胁建模练习,以识别这些用例。

从发现来看,许多API解决方案只发现当前使用的API。某些API可能未与现有API GW集成,仅在调用时才会在流量中看到,这可能为时已晚,无法识别错误配置。如果不检查代码,API可能会出现漏洞。安全领导人可以集成这些类型的发现,可能使用代码检查和普查练习。

API安全创新可识别可能导致漏洞利用的错误配置。然而,在撰写本文时,我们只看到了一些产品,其中包括传统意义上的API安全测试,包括静态应用程序安全测试(SAST)、动态应用程序安全性测试(DAST)和模糊化 安全主管应始终将API安全功能与开发生命周期中嵌入的真正AST集成在一起。此外,自动化工具将能够识别某些标准化的业务逻辑问题,但在大多数情况下,只有手动渗透测试或众测试才能发现可能被欺诈攻击者利用的业务逻辑。

在2021 Gartner Enabling Cloud-Native DevSecOps调查中,75%的受访者表示他们使用WAAP来保护生产中运行的云应用程序。40%的人表示,他们在将成熟工具与创新工具相结合方面面临挑战。引入新工具可能会扰乱日常运营和团队平衡。虽然API安全工具的组织所有权倾向于以安全为中心,但许多成熟的组织开始将安全权限委托给安全团队以外的职能部门。

安全主管通常管理WAF和WAAP,但API网关通常由API center of excellence(COE)或API平台团队管理。

五、选择

WAAP是一种与API保护工具有很大重叠的安全工具。云原生应用程序保护平台(CNAPP)也代表了一个可能有一些重叠的新兴领域,尽管这些平台的范围仍在确定中。

安全正在经历一段整合期。我们预计API安全领域将产生数量有限的最佳供应商,这些供应商将保持独立并扩展其产品组合。然后,我们预计许多其他应用程序将成为更广泛的应用程序安全产品的一部分,无论是WAAP还是CNAPP供应商。

六、建议

安全和风险管理领导者应:

  • 从发现和分类您的API开始。执行威胁建模,以确定您需要哪些特定的安全机制来降低风险。
  • 使用云web应用程序的关键功能和API保护以及API全生命周期管理的关键功能,评估当前WAAP或API网关提供的API保护。如果您的风险缓解需要额外的API保护,请调查能够提供额外保护层的API安全专家。
  • 通过使用内部SOC或托管服务,解决行为异常检测可能产生的安全分析工作负载。
  • 对新的或新修改的API进行渗透测试,以发现在执行自动扫描时可能隐藏的业务逻辑问题。然后对API进行持续的应用程序安全测试。

代表厂商:

42Crunch; Akamai; Cequence Security; Imperva (CloudVector); Neosec; Noname; Salt; Traceable; Wib.

参考文献