企业需要做什么来保护API

近几年，说起攻防对抗，大家聊的最多的可能是0day、钓鱼、供应链风险……对于一个黑客来说，如果他要挑一个既省事又好用的攻击突破口，那首选恐怕就是API了。

尽管越来越多的人意识到API的安全性，但违规事件仍然不断发生。API管理和web应用防火墙供应商，以及新成立的公司，正在解决这个问题。但是应用程序拥有者必须独立地设计和执行有效的API安全策略来保护他们的API。

一、什么是API

API是一组定义了软件组件之间交互方式的规范。它可以被看作是软件系统之间的桥梁，允许不同的应用程序之间进行通信和数据交换。API定义了一组预定的规则和协议，通过这些规则和协议，开发人员可以利用已有的功能来构建新的应用程序。

API的作用：

1. 促进软件开发的模块化和复用

API将软件系统拆分为不同的模块，每个模块完成一部分功能。这种模块化的设计使得开发人员可以专注于自己负责的部分，提高了开发效率。同时，API的复用性能够减少开发人员的工作量，提高代码的可维护性和可扩展性。

2. 实现系统之间的互操作性

不同的软件系统往往需要相互协作，API通过定义统一的接口规范，使得各个系统之间可以进行数据交换和通信。例如，Web开发中的RESTful API可以使前端和后端之间进行数据传输和交互。

3. 提供第三方开发者接入和扩展

很多公司和平台提供API给第三方开发者，以便他们可以基于已有的功能进行二次开发，并开发出新的应用或服务。这种开放的API能够吸引更多的开发者参与进来，促进生态系统的发展和创新。

API的原理：

1. 接口设计和规范

API的设计要考虑到使用者的需求，并定义清晰的接口规范。接口规范应包括方法名称、参数及返回值的定义等，确保使用者能够正确使用API提供的功能。

2. 数据格式和协议

API的数据传输通常使用标准的数据格式和协议，如JSON、XML或HTTP。这些标准化的格式和协议确保了不同系统之间的兼容性和互操作性。

3. 认证与安全

API的访问往往需要认证授权机制，确保只有经过身份验证的请求才能访问受保护的资源。此外，API还需要采取一系列的安全措施，防止潜在的攻击和数据泄露。

4. 错误处理与异常处理

API应该提供详细的错误信息和异常处理机制，使得使用者能够准确地理解错误原因，并采取相应的处理措施。这有助于提高开发效率和用户体验。

二、API面临的安全挑战

企业在大量依托 API 接口来完成内部数据交互、外部数据共享、三方组件引用时，衍生出的安全挑战主要包括以下几方面：

01  业务暴露面扩大

• 随着云计算技术的广泛应用，越来越多的 Saas 化业务系统和服务被迁移上云，API 在为更多用户提供服务的同时，导致大量 API 对外暴露，相对于传统数据中心的单点式调用，云上的东西向和南北向访问都可能成为威胁 API 安全的攻击面。

02 忽视本身存在的脆弱性

• 敏捷开发模式是当下主流开发模式，敏捷开发周期短，API 接口构建频繁，对于API 接口本身存在的脆弱性难以兼顾。

03 存在未知API

• API 是由编码人员所创建，很少有人会意识到这些 API 的存在，这使得大量的 API 缺少维护，并经常容易被忽略。当组织缺乏对于 API 接口的治理机制时，僵尸、影子和幽灵等可怕的 API 威胁就会出现，给企业业务开展造成损害。

04  对API安全风险无认知

• 一些企业会认为按照开发设计规定来设计 API 接口，不会有什么问题，从而导致API 被攻击的可能性以及其后果被严重低估，因此未采取充分的防护措施。此外，第三方合作伙伴系统的 API，也容易被组织所忽视。

二、传统安全工具存在缺陷

由于 API 在设计架构上的特殊性，它们无法通过传统的应用安全工具进行有效的保护，比如API应用网关、日志分析和 WAF 等。据最新的 API 安全研究数据显示，77%的受访者表示，传统的安全工具难以满足其API安全防护需求， 主要原因包括：

01 缺乏对于API的检测能力

• 传统安全工具主要是为保护传统业务应用程序和网络基础设施而设计的，缺乏解决API特有漏洞所需的具体功能，比如无效的对象级授权（BOLA）、输入验证不充分或访问速率限制不足。

02 无法融入API安全生态

• 现代应用程序常常包含来自不同提供商的大量 API。这种生态的复杂性使得传统安全工具难以全面准确地监控 API 流量和检测可疑活动。

03 安全能力存在局限性

• 传统安全工具无法提供检测特定 API 攻击（比如撞库攻击和蛮力破解）所需的可见性，因为这类攻击往往会发生在多个 API 之间，需要实现细粒度的API级可见性。

04 身份校验机制无针对性

• 很多企业中存在大量历史遗留应用程序，因此，使用 API 而不进行身份验证是目前很常见的现象。这些未经身份验证的 API 一旦公开暴露，就会对企业的应用系统安全构成威胁。API 需要提供比传统安全工具更高级的身份验证和授权机制，比如基于令牌的验证和授权。

05  动态多变的环境

• API 是在高度动态多变的环境中运行，需要不断部署新的 API，并经常更新现有的API。传统安全工具难以跟上快速的变化，从而导致在 API 安全控制方面出现缺口，可能被人利用。

三、常见的API攻击

注入攻击：

• 注入攻击是常见的API攻击手段，主要分为SQL注入和OS命令注入两种类型。SQL注入攻击是指攻击者利用应用程序接口中的SQL查询漏洞，通过恶意输入控制查询行为，获取敏感数据或对数据库执行恶意操作；OS命令注入攻击则指利用应用程序接口中的命令执行漏洞，通过恶意输入执行未授权的操作系统命令，从而破坏系统的正常运行。

跨站请求伪造：

• 跨站请求伪造(CSRF)是指利用应用程序接口中的认证和授权漏洞，通过伪造请求来绕过身份认证和授权控制，对系统进行未授权操作。

分布式拒绝服务攻击：

• 分布式拒绝服务攻击(DDoS)是通过大量合法或非法请求使目标服务器过载，从而使其无法响应正常请求的攻击手段。DDoS攻击利用了应用程序接口中的性能瓶颈漏洞，通过大量请求使目标服务器崩溃或无法响应正常请求，从而造成服务中断和数据丢失等问题。

代码注入攻击：

• 代码注入攻击利用了应用程序接口中的输入校验漏洞，通过恶意输入来执行未授权的代码片段。代码注入攻击分为OS命令注入和Web shell注入两种类型，其中OS命令注入可以执行未授权的操作系统命令，Web shell注入可以在目标服务器上执行未授权的脚本或命令。

四、如何部署防护，预防API攻击

我们都知道，API扩大企业安全攻击面的一个重要原因是，API 本身是暴露在网络上的。这时候，如果在API与外部网络之间加一个防护引擎，就可以很好地解决这个问题。防护引擎也就是WAAP全站防护，可以对所有动态数据进行加密传输，这样可以避免API直接暴露给第三方或者移动端应用，减少外部对API的暴露面和受到直接攻击的风险。

此外WAAP全站防护有很强的安全防护能力，例如，当流量经过WAAP时，WAAP通过速率限制来防止DDoS攻击；随后启动身份验证，确保正确的身份才能通过；通过之后，并不意味着就可以访问后端所有数据，而是经过访问控制判断是否有权限访问以及有哪些权限；整个过程，后台有审计日志记录所有请求与结果。

全站防护是基于风险管理和WAAP理念打造的安全方案，以“体系化主动安全” 取代安全产品的简单叠加，为各类Web、API业务等防御来自网络层和应用层的攻击，帮助企业全面提升Web安全水位和安全运营效率。

德迅云安全WAAP全站防护产品特性：

全周期风险管理

• 基于事前-事中-事后全流程，通过资产发现→策略布防→体系化运营，实现风险管理闭环

全方位防护

• 聚合DDoS云清洗、Web攻击防护、业务安全、API安全、全站隔离5大模块，实现覆盖L3-L7层的全站防护

简化安全运营

• 统一纳管多云环境所有Web业务、一个后台统一控制、打破数据孤岛，大幅降低安全运营复杂度和人力成本

防护效果卓越

• 多模块数据联动，秒级识别低频DDoS、业务欺诈等隐藏恶意行为；主动威胁情报和全站隔离技术实现主动防护、屏蔽0day漏洞威胁

产品功能

1.云端部署 一键接入，无需改造现有架构，专家7*24小时在线支撑，实时解决问题

2.风险管理 在事前阶段，结合安全专家服务，帮助企业发现并收敛Web业务安全风险

• 漏洞扫描：通过漏洞扫描器对Web应用资产进行安全扫描，发现Web应用中存在的安全漏洞(OWASP TOP10、弱口令、CVE漏洞等)；

• 渗透测试：派出安全专家，以黑客视角对目标系统进行非破坏性漏洞挖掘，清查目标系统潜在的安全隐患；

• 智能化防护策略：平台基于客户业务的智能化分析，可自动适配防护策略，实现开箱即用；

• API资产盘点：基于流量分析，帮助企业从流量数据中发现尚未掌握的API业务，形成API资产清单，为后续的防护工作做好资产盘点；

• 互联网暴露面资产发现：通过平台和人工服务的方式，对域名、IP及关键字的综合查询及关联分析，提供互联网资产的发现、识 别、监测、稽核等服务，帮助用户发现和梳理互联网资产；

3.全站防护

在事中阶段，从网络安全、应用安全、业务安全、API安全各层面，为Web应用提供全面安全防护闭环

• DDoS防护：秒级检测专利技术，在边缘实时清洗网络层DDoS攻击；

• CC防护：基于AI的流量行为分析技术，实现对应用层CC攻击的秒级检测及防御；

• 业务安全：针对业务层面，提供轻量化的信息防爬和场景化风控能力；

• API安全：针对API应用进行精细化的管理和防护，规避API滥用行为、防止数据泄露；

• Web攻击防护：覆盖OWASP Top10的各类Web攻击防护，基于CDN的分布式算力提供弹性防护和海量IP封禁，同时支持与源站本地防护联合决策提高防御精度；

• 全站隔离：基于远程浏览器隔离技术使网站源代码不可见，从而主动隐藏网站攻击面，同时结合混淆访问路径、加密交互内容等技术，实现对0day漏洞攻击的有效屏蔽；

• 协同防护：通过全站防护管理平台，对网络L3-L7层各防护模块的安全策略进行统一管理，并通过数据聚合、情报协同，形成真正的纵深防护，简化运营工作的同时进一步提升整体安全的防护水位。

4.安全运营

在事后阶段，以降低风险为目标，全站防护管理平台提供体系化的安全运营能力，帮助企业夯实全周期风险管理闭环

• 全面的安全态势：聚合各防护模块数据，以简洁、贴近业务的形式呈现，用户可总览web安全态势，主动感知和响应已知安全事件；

• 持续优化的托管策略：结合平台实战对抗经验和持续的攻防研究成果，管理平台持续提供推送更高质量的防护规则和策略建议，对业务防护策略进行优化，与黑产持续对抗；

• 安全专家运营：德迅云安全资深安全专家提供策略优化、应急响应、重保等专项安全服务，同时对客户风险的持续监测与防护管理。

应用场景

（1）金融机构：

在云端为金融行业提供第一道安全防线，与本地防御形成联合防控体系，解决重大活动期间本地防御性能瓶颈问题，保障业务高可用、安全高水位。

• 超大规模算力及防护资源，弹性应对业务突增，并承接对性能消耗极大的防护策略（如海量IP封禁），缓解本地压力；

• 通过补充最外层云端防线，形成云地联合防控，帮助政府单位、央企国企及其下属二、三级单位的门户网站、信息公示系统统一安全水位、提升合规水平，并提供重要时期安保、政务数据保护、打击山寨钓鱼网站等能力。

• 所有业务云端统一纳管，为集团及下属二级、三级单位提供集中安全防护。全网威胁情报、云端攻击数据共享，为本地安全体系提升主动防御能力和运营团队研判效率；

• 云端检测能力与本地互补，形成异构深度检测，避免漏报；

• 通过高危情报、防自动化扫描及全站隔离防护能力，实现对0day攻击的无规则防护。

（2）政务及央企国企

通过补充最外层云端防线，形成云地联合防控，帮助政府单位、央企国企及其下属二、三级单位的门户网站、信息公示系统统一安全水位、提升合规水平，并提供重要时期安保、政务数据保护、打击山寨钓鱼网站等能力。

• 阻断漏洞扫描行为，WAF防护率行业领先的，帮助政企单位提升合规水平；

• 超强抗D、专项情报、专项策略模板、政企白名单等能力，强化两会、国庆等重要时期安全保障；

• 网站防复制、数据防抓取技术，防止黑灰产利用爬虫工具复制政府网站用于钓鱼、诈骗等恶意目的；

• 所有业务云端统一纳管，为集团及下属二级、三级单位提供集中安全防护。

（3）媒体资讯

针对媒体资讯类网站对内容安全及合规建设的高要求，在云端补充最外层防线，统一收敛攻击面，提升防护水位，建立风险闭环。

• 行业领先的WAF防护率，防止新闻媒体网站被攻击、篡改，造成不良社会影响；

• 媒体网站通常内容丰富、目录层级较深，全站防护提供定期的网站风险检测，避免出现暗链、黑链等风险；

• 网站防复制、内容防抓取技术，防止黑灰产利用爬虫工具复制新闻网站，进行钓鱼、诈骗、造谣等恶意行为。

（4）电商零售

为电商及零售企业提供全面的业务安全风险防控。

• 对于黑灰产利用自动化工具“薅羊毛”、刷水刷量、占座抢票等业务欺诈行为，提供多层级、场景化AI反欺诈风控能力进行强力反制；

• 防止竞争对手、第三方比价软件利用爬虫工具长期抓取、监控电商平台商品价格信息，导致平台定价策略、优惠策略泄露；

• 防止黑灰产利用爬虫工具抓取用户的登录信息、交易信息等，造成用户信息泄露；

• 大促、新品发布期间，防护黑产DDoS勒索，并支持一体化安全加速，保障网站业务可用和用户体验。

结语

在数字中国的网络安全背景下，梆梆安全依托多年的攻防技术研究和实战经验，针对 API 接口的威胁入侵、黑灰产、违规异常行为、恶意攻击行为等，建立了完备的核心规则库；结合专业的前端监测及流量分析能力，形成前端（设备、系统、应用）与后端（基线、行为、漏洞）相结合的端到端协同监测能力；拥有完善的代码加密、密钥白盒及通信协议保护等技术，可为企业打造稳固可信的安全体系闭环。