据 Gartner 数据显示,API安全漏洞在2021年惊人地增长了600%,很可能成为威胁参与者的首要攻击媒介。DevOps在防御勒索软件攻击的实践能否用于提高API的安全性?
API 的优势
API已经存在很长时间,API主要用于特定类型的应用程序、B2B或基础设施集成。直到转向微服务和分布式架构,内部(或东西向)API 才成为将应用程序环境连接在一起并在应用程序的组件和微组件之间传递信息(有时是敏感信息)的粘合剂。至于外部API,发布的公共API几乎存在于拥有软件产品的企业。
也因此,API为几乎每个应用程序或服务创建了潜在的攻击向量。这也是为什么网络犯罪分子越来越重视利用API来获取一些访问特权。
保护 API
降低勒索软件风险和降低API安全风险之间有很多相似之处。DevOps团队可以作为抵御这些攻击的主要防线。在DevOps中将安全左移,开发人员需要掌握潜在的漏洞并在开发过程中对其进行修复。在 DevOps 中构建安全意味着我们需要考虑如何快速交付安全、高质量的代码。此外,掌握一些基本的安全信息会有所帮助。
以下是将反勒索软件策略扩展到反 API 漏洞利用策略的方法。
防止横向移动
与勒索软件一样,通过利用缺陷和漏洞横向从端点传播到端点,API 漏洞利用通常也横向传播到整个环境中。
这意味着,即使无法阻止所有API(或勒索软件)攻击突破边界,也可以采取措施,使漏洞难以扩大。通过及时的安全检测潜在漏洞并修复,并检测环境中的恶意活动,可以在威胁导致大规模入侵之前阻止其横向传播。
关注数据安全
勒索软件攻击和 API 攻击都专注于破坏同一个目标:数据。勒索软件攻击者希望保留数据以获取赎金。API 攻击者——例如从受感染的 Peloton 帐户中窃取敏感信息的人,或其他违反 LinkedIn 的 API 以抓取约 7 亿用户数据的人,通常希望将其泄露出去,或者为了转售数据,同时损害企业声誉。
因此,降低勒索病毒风险和API安全风险的关键在于保护数据。通过对内部和公共API所能做的事情实施强大的访问控制和分段,可以降低由于API安全漏洞而导致的数据泄露的风险。
使用行为安全模型
把所有基于签名的安全控制都投入到攻击防范中,对于勒索软件或API攻击都是无效的,特别是当它们是 0 day 或未知的攻击时。虽然企业可以强化网络环境的安全,但不能完全保证漏洞会越过防御系统。
部署基于行为的安全模型,用于检测环境中的异常活动。根据模型检测异常可以在攻击发生时阻止其扩散。
不要过于依赖基于边界的防御
保护网络环境的边界并不是对勒索软件或API攻击万无一失的防御。相反,应该跨所有端点、应用程序、服务等分发保护。
勒索软件和 API 攻击的相似之处在于,它们通常都涉及旨在逃避常见安全监控工具的攻击方法。例如,攻击者可能会尝试利用端口 80 或 443(默认 HTTP/HTTPS 端口),这些端口在防火墙上几乎总是打开的。因此,避免仅依赖标准端口或加密来保护 API 流量。
结论
勒索软件攻击和 API 安全攻击在某些方面有着根本的不同。它们涉及对不同协议的利用,攻击者的目标通常有所不同。
但就攻击者的操作方式、他们想窃取的内容(数据)以及基于边界的防御的限制而言,勒索软件攻击和API攻击实际上比较相似。开发人员和 DevOps 团队可以在防范勒索软件的基础上调整策略来应对 API 攻击。
来源:
