API是连接现代应用程序的基石,越来越多的企业意识到API的重要性,其数量迎来爆发式增长,但API面临的安全威胁却比API调用增长更加迅猛。Salt Security于今年2月发布的报告显示,2023年有91%的公司存在与API相关的安全问题,80%的组织认为他们的安全工具不能有效地防止API攻击。
API已成为主要攻击媒介,而自动化攻击则是API安全的主要威胁。
事实上,随着人工智能、机器学习等技术的发展,Bot自动化攻击手段变得越来越普遍和复杂。Bot自动化攻击可以快速、准确地扫描API漏洞或对API发起攻击,对系统造成严重威胁。
那么,究竟什么是针对API的Bot自动化攻击?这种攻击是如何发生的,以及为什么会变得越来越普遍?
伴随互联网的广泛应用和快速升级,企业内部应用逐渐由单一架构发展为低耦合、高内聚的服务网格架构,业务应用内部的数据交换大量采用API方式进行连接,导致企业API数量呈现指数级爆发式增长,API安全性受到极大挑战。
API可以快速轻松地访问数据、资源和功能。截至目前,全球使用的公共API和私有API总数约为2亿个,API的重要性不言而喻,伴随BOT攻击等各类黑客工具和服务的攻击方式层出不穷,API攻击者数量及潜在攻击的数量迎来飙升。
什么是针对API的Bot自动化攻击?
所谓Bot,是Robot(机器人)的简称,一般指无形的虚拟机器人,也可以看作是自动完成某项任务的智能软件。它可以通过工具脚本、爬虫程序或模拟器等非人工手动操作,在互联网上对 Web网站、APP应用、API接口进行自动化程序的访问。
Bot自动化攻击 (Bot Attack),是指通过工具或者脚本等程序,对应用系统进行的攻击或探测,它不仅仅是一种自动化的应用漏洞利用的攻击行为,更多是利用业务逻辑漏洞的威胁行为,甚至是模拟合法业务操作,躲避现有安全防护手段的自动化威胁行为。
因此,攻击者可以通过完全合法有效的API调用实现Bot自动化攻击,操纵、欺诈或破坏API,以达到获取核心系统权限、窃取敏感信息、植入恶意软件、发起DoS攻击等目的。
BOT(机器人)攻击最初用于向目标发送垃圾邮件,目前已经发展为可以执行高度模仿人类行为的复杂攻击。在BOT(机器人)攻击中,恶意分子利用机器人程序来操纵、欺诈或扰乱目标网站、应用程序、最终用户或API。 当利用这些Bot自动化程序专门攻击API时,或者当攻击者利用Bot来增加API攻击的规模、影响和复杂性时,这就是针对API的Bot自动化攻击。
Bot机器人分为2种
第一种:善意机器人:
是指在受控的环境内使用,以提升工作效率、用户体验为目的的自动化工具,包括搜索引擎、 运维监控、RPA等。这类Bot在运行过程严格遵守访问协议,不会进行越权、非法等类型的访问,不会给访问目标带来压力。
第二种:恶意机器人:
是指存在恶意访问行为的Bot,恶意行为包括漏洞扫描、撞库、恶意信息爬取、薅羊毛、 DDoS攻击等。恶意机器人在运行期间,会给目标系统带来较大的压力,影响系统的安全性和可用性。
Bot的3个级别
从Bot拟人化的程度上划分,可以将Bot划分三个级别:
l 初级:
以脚本类程序为主,不具备页面渲染、JS执行等能力,仅可根据预先设定的参数进行模拟访问。
l 中级:
具备页面渲染、JS执行能力,可以对动态生成的信息进行获取,但不具备交互能力。
l 高级:
具备完整的浏览器功能,可模拟鼠标、键盘等操作与目标系统进行拟人化交互。
恶意Bot攻击的特点
如今,恶意BOT在AI技术的加持下已“进化”成智能化网络机器人给个人用户、商业平台带来巨大危害它通常有以下几个“DNA”:
l 高并发: 利用云端基础设施或者IDC机器集群,形成极高的并发访问能力
l 速度快: 可在短时间内形成超量的访问,在一夜之间薅走访传百亿规模的羊毛
l 全天候: 可以724365的工作,秒杀一切996,甚至为了逃避监测,经常昼伏夜出、凌晨作案
l 自动化: 可在完全无人看守和干预的情况下,模拟大部分人类行为并完成恶意任务,从拖库撞库、登录测试,到图片验证码破解、薅羊毛等所有任务都可以执行。
l 智能化: AI技术加持,拥有超高“智慧”
攻击者为什么利用BOT(机器人)对API展开攻击?
通过编程暴露数据、资源和业务逻辑
由于API连接不同应用程序,提供对数据和资源等资产的编程访问,并使多个客户能够轻松集成和共享。便利性的背后,是不可估量的安全风险:暴露高价值的功能和业务逻辑,并使资源容易被发现,加大暴露敏感信息的风险。
API 缺乏可见性
由于整个生命周期内的API缺乏可见性,使其成为BOT(机器人)攻击的诱人目标。企业不了解存在哪些API,如何审查、管理和保护API,导致存在易受攻击的API、影子API、僵尸API、流氓API和配置错误的 API,急剧加大风险。攻击者利用BOT(机器人)分析组织的IT架构,并四处寻觅API中的薄弱环节。
BOT(机器人)程序的隐蔽性
BOT(机器人)程序易于用在API攻击上,是因为其极其隐蔽,不易被传统安全工具、甚至更高级的安全工具检测出来。例如,用户临时调整API身份验证规则,以便在三次登录尝试失败后冻结帐户。在撞库攻击中,尝试两次失败后,机器人程序则会改用另一个IP地址,再次进行访问,在没有人工干预的情况下,根据设定的规则和学习能力做出决定。
BOT(机器人)被用来掩护其他攻击
机器人攻击通常被攻击者用作干扰或掩护,以策划其他类型的API滥用。比如说,攻击者可能利用僵尸网络触发数以千计的安全警报,好让安全团队无暇干预。
传统工具无力应对现代机器人程序
传统的安全工具不能检测API机器人程序攻击,无法有效区分机器人程序活动和人类活动,无法有效区分好的机器人程序活动和坏的机器人程序活动。其次,机器人程序留下的线索较少、API收集的细节较少,传统工具无法有效判断API调用恶意还是合法。
业务逻辑缺陷
开发人员使用通用规则集,并默认配置API,带来业务逻辑缺陷,机器人程序可利用这些缺陷造成严重破坏,同时通过看似合法的API请求逃避检测。
针对API的机器人程序攻击更容易发起
机器人、僵尸网络和攻击工具包容易租用,而且价格低,攻击者不需要太多资源或深厚的技术知识就能发起API机器人攻击。
BOT(机器人)对API 展开攻击的步骤如下:
- 侦察: 利用机器人程序和僵尸网络发掘易受攻击的API端点、测试检测阈值和分析攻击面等。
- 攻击: 机器人程序和僵尸网络用于攻击API。一些常见的API机器人程序攻击包括撞库攻击、蛮力攻击、内容抓取攻击和注入攻击等。
- 规避:在基于API的攻击中,攻击者还利用机器人程序和僵尸网络通过隐蔽行为或制造干扰来规避安全防御系统。
从更广泛的影响来看,根据国际权威机构相关报告显示,在全球范围内遭遇恶意BOT流量攻击的典型行业有:金融、航旅票务、电商、营销/广告、教育、医疗等。
如何避免受到BOT(机器人)攻击 ?
毫无疑问,2024年恶意Bot、高级Bot自动化威胁工具将立足效率高、影响力大,防护薄弱API的发展趋势将愈加明显。
以下4种方式可以有效保护API免受Bot自动化攻击:
API资产管理:
引入API资产管理,借用API安全工具通过对访问流量进行分析,自动发现流量中的API接口,对API接口进行自动识别、梳理和分组。同时,从API网关上获取API注册数据,与API资产进行对比,从而发现未知API接口。
API攻击防护:
综合利用AI、大数据、威胁情报等技术,持续监控并分析流量行为,有效检测威胁攻击,对API安全攻击进行实时防护。同时,对API请求参数进行合规管控,对不符合规范的请求参数实时管控。
敏感数据管控:
对API传输中的敏感数据进行识别和过滤,并对敏感数据进行脱敏或者实时拦截,规避数据安全风险。
访问行为管控:
建立多维度访问基线和API威胁建模,对API接口的访问行为进行监控和分析。一方面,监控基线偏离状况,针对高频情况等进行防护,防止高频情况等造成的API性能瓶颈;另一方面,高效识别异常访问行为,避免恶意访问造成的业务损失。同时,从API网关上获取API认证和鉴权数据,防止未授权的API调用,保障API接口只能被合法用户访问。
德迅云安全WAAP全站防护
全站防护是基于风险管理和WAAP理念打造的安全方案,以“体系化主动安全” 取代安全产品的简单叠加,为各类Web、API业务等防御来自网络层和应用层的攻击,帮助企业全面提升Web安全水位和安全运营效率。
平台特色
全周期风险管理:基于事前-事中-事后全流程,通过资产发现→策略布防→体系化运营,实现风险管理闭环。
全方位防护:聚合DDoS云清洗、Web攻击防护、业务安全、API安全、全站隔离5大模块,实现覆盖L3-L7层的全站防护
简化安全运营:统一纳管多云环境所有Web业务、一个后台统一控制、打破数据孤岛,大幅降低安全运营复杂度和人力成本
防护效果卓越:多模块数据联动,秒级识别低频DDoS、业务欺诈等隐藏恶意行为;主动威胁情报和全站隔离技术实现主动防护、屏蔽0day漏洞威胁
产品功能
1.云端部署:一键接入,无需改造现有架构,专家7*24小时在线支撑,实时解决问题
2.风险管理:在事前阶段,结合安全专家服务,帮助企业发现并收敛Web业务安全风险
------漏洞扫描:通过漏洞扫描器对Web应用资产进行安全扫描,发现Web应用中存在的安全漏洞(OWASP TOP10、弱口令、CVE漏洞等);
------渗透测试:派出安全专家,以黑客视角对目标系统进行非破坏性漏洞挖掘,清查目标系统潜在的安全隐患;
------智能化防护策略:平台基于客户业务的智能化分析,可自动适配防护策略,实现开箱即用;
------API资产盘点:基于流量分析,帮助企业从流量数据中发现尚未掌握的API业务,形成API资产清单,为后续的防护工作做好资产盘点;
------互联网暴露面资产发现:通过平台和人工服务的方式,对域名、IP及关键字的综合查询及关联分析,提供互联网资产的发现、识 别、监测、稽核等服务,帮助用户发现和梳理互联网资产;
3.全站防护:在事中阶段,从网络安全、应用安全、业务安全、API安全各层面,为Web应用提供全面安全防护闭环
------DDoS防护:秒级检测专利技术,在边缘实时清洗网络层DDoS攻击;
------CC防护:基于AI的流量行为分析技术,实现对应用层CC攻击的秒级检测及防御;
------业务安全:针对业务层面,提供轻量化的信息防爬和场景化风控能力;
------API安全:针对API应用进行精细化的管理和防护,规避API滥用行为、防止数据泄露;
------Web攻击防护:覆盖OWASP Top10的各类Web攻击防护,基于CDN的分布式算力提供弹性防护和海量IP封禁,同时支持与源站本地防护联合决策提高防御精度;
------全站隔离:基于远程浏览器隔离技术使网站源代码不可见,从而主动隐藏网站攻击面,同时结合混淆访问路径、加密交互内容等技术,实现对0day漏洞攻击的有效屏蔽;
------协同防护:通过全站防护管理平台,对网络L3-L7层各防护模块的安全策略进行统一管理,并通过数据聚合、情报协同,形成真正的纵深防护,简化运营工作的同时进一步提升整体安全的防护水位。
4.安全运营:在事后阶段,以降低风险为目标,全站防护管理平台提供体系化的安全运营能力,帮助企业夯实全周期风险管理闭环
------全面的安全态势:聚合各防护模块数据,以简洁、贴近业务的形式呈现,用户可总览web安全态势,主动感知和响应已知安全事件;
------持续优化的托管策略:结合平台实战对抗经验和持续的攻防研究成果,管理平台持续提供推送更高质量的防护规则和策略建议,对业务防护策略进行优化,与黑产持续对抗;
------安全专家运营:德迅云安全资深安全专家提供策略优化、应急响应、重保等专项安全服务,同时对客户风险的持续监测与防护管理。
应用场景
金融机构:在云端为金融行业提供第一道安全防线,与本地防御形成联合防控体系,解决重大活动期间本地防御性能瓶颈问题,保障业务高可用、安全高水位。
------超大规模算力及防护资源,弹性应对业务突增,并承接对性能消耗极大的防护策略(如海量IP封禁),缓解本地压力;
------通过补充最外层云端防线,形成云地联合防控,帮助政府单位、央企国企及其下属二、三级单位的门户网站、信息公示系统统一安全水位、提升合规水平,并提供重要时期安保、政务数据保护、打击山寨钓鱼网站等能力。
------所有业务云端统一纳管,为集团及下属二级、三级单位提供集中安全防护。全网威胁情报、云端攻击数据共享,为本地安全体系提升主动防御能力和运营团队研判效率;
------云端检测能力与本地互补,形成异构深度检测,避免漏报;
------通过高危情报、防自动化扫描及全站隔离防护能力,实现对0day攻击的无规则防护。
政务及央企国企:通过补充最外层云端防线,形成云地联合防控,帮助政府单位、央企国企及其下属二、三级单位的门户网站、信息公示系统统一安全水位、提升合规水平,并提供重要时期安保、政务数据保护、打击山寨钓鱼网站等能力。
------阻断漏洞扫描行为,WAF防护率行业领先的,帮助政企单位提升合规水平;
------超强抗D、专项情报、专项策略模板、政企白名单等能力,强化两会、国庆等重要时期安全保障;
------网站防复制、数据防抓取技术,防止黑灰产利用爬虫工具复制政府网站用于钓鱼、诈骗等恶意目的;
------所有业务云端统一纳管,为集团及下属二级、三级单位提供集中安全防护。
媒体资讯:针对媒体资讯类网站对内容安全及合规建设的高要求,在云端补充最外层防线,统一收敛攻击面,提升防护水位,建立风险闭环。
------行业领先的WAF防护率,防止新闻媒体网站被攻击、篡改,造成不良社会影响;
------媒体网站通常内容丰富、目录层级较深,全站防护提供定期的网站风险检测,避免出现暗链、黑链等风险;
------网站防复制、内容防抓取技术,防止黑灰产利用爬虫工具复制新闻网站,进行钓鱼、诈骗、造谣等恶意行为。
电商零售:为电商及零售企业提供全面的业务安全风险防控。
------对于黑灰产利用自动化工具“薅羊毛”、刷水刷量、占座抢票等业务欺诈行为,提供多层级、场景化AI反欺诈风控能力进行强力反制;
------防止竞争对手、第三方比价软件利用爬虫工具长期抓取、监控电商平台商品价格信息,导致平台定价策略、优惠策略泄露;
------防止黑灰产利用爬虫工具抓取用户的登录信息、交易信息等,造成用户信息泄露;
------大促、新品发布期间,防护黑产DDoS勒索,并支持一体化安全加速,保障网站业务可用和用户体验。
