还记得当年勒索软件是 DevOps 团队需要担心的主要安全威胁吗?
Businessman is reading business graphs and charts
那些日子已经过去了。当然,勒索软件攻击仍在发生,但根据 Gartner 的数据,API 安全漏洞(2021年增加了600%)现在已经准备好成为威胁行为者的头号攻击媒介。
这就是坏消息。好消息是,在许多方面,DevOps 团队已经具备的防范勒索软件的安全实践也可以重新用于提供 API 安全性ーー只需进行一些调整。
请继续阅读今天的 API 安全状态,以及扩展 DevOps 现有勒索软件防御技术以保护 API 的提示。 API 的优势尽管 API 突然成为攻击者最好的朋友似乎有些令人惊讶,但是当你退一步想想在过去的五年中我们对 API 的依赖程度有多深时,你就会发现事实并非如此。
API 已经存在很长时间了。但是直到最近,API 主要用于特定类型的应用程序、 B2B 或基础设施集成。直到转向微服务和分布式架构,内部(或东西方) API 才成为将应用程序环境粘合在一起的粘合剂,并在应用程序的组件和微组件之间传递信息(有时是敏感的)。
至于外部 API,发布公共 API 已成为几乎所有软件产品企业的基本期望ーー目前已有大约2.2万个公共 API,以及几个数量级更多的内部 API。
其结果是 API 创建了针对几乎所有应用程序或服务的潜在攻击向量。因此,坏人们越来越多地将注意力集中在利用 API 作为获取访问您不希望他们拥有的东西的手段,这才是有意义的。 从勒索软件保护到 API 保护您可能认为保护 API 需要全新的安全工具和实践。但实际上,在减轻勒索软件风险和减轻 API 安全风险之间存在着广泛的相似之处。DevOps 团队是对抗这些的主要防线。
下面介绍如何将反勒索软件策略扩展为反 API 利用策略。
防止横向移动
与通过利用缺陷和漏洞从端点到端点横向传播的勒索软件一样,API 利用也通常横向传播到整个环境。 T这意味着,即使你不能阻止所有的 API (或勒索软件)攻击突破你的边界,你可以采取措施,使它难以扩大破坏。通过及早发现环境中的恶意活动,可以在威胁导致大规模危害之前阻止其横向传播。 关注数据安全勒索软件攻击和 API 攻击都致力于破坏同一个王冠上的宝石: 你的数据。勒索软件攻击者想用这些数据换取赎金。API 攻击者——比如那些从受到攻击的 Peloton 账户中窃取敏感信息的人,或者那些通过侵入 LinkedIn 的 API 来获取大约7亿用户数据的人——通常都会想要将其提取出来,可能是为了转售,也可能只是为了损害你的企业声誉。
因此,降低勒索软件风险和 API 安全风险归根结底就是保护您的数据。通过对内部和公共 API 实施强有力的访问控制和细分,可以减少由于 API 数字证书认证机构而导致的数据外泄风险。 使用行为安全模型将所有基于签名的安全控制都投入到攻击预防中,对于勒索软件或 API 攻击都不会有很好的效果,尤其是当它们是零日攻击或未知攻击时。虽然您当然应该尽可能地强化环境,但是不可能保证漏洞不会越过您的防御。
这就是为什么部署基于行为的安全模型是防范勒索软件和 API 攻击的关键。行为安全模型检测环境中的异常活动,比如异常类型的请求或奇怪的请求模式。通过对行为进行建模和基线化,并根据您的模型检测异常,您可以防止攻击在进行过程中扩散。 不要依赖周边防御类似地,试图保护环境的周边并不一定能抵御勒索软件或 API 攻击。相反,您需要在所有端点、应用程序、服务等之间分布保护。
同样,没有什么能保证攻击者不会进来。你们防御的成功很大程度上取决于你们是否有能力让他们难以将攻击从小规模的缺口升级为影响大范围资源的攻击。 看看表面之外勒索软件和 API 攻击是相似的,因为它们通常都涉及为躲避常见的安全监控工具而设计的攻击方法。
例如,攻击者可能试图利用端口80或443(默认的 HTTP/HTTPS 端口) ,这些端口几乎总是在防火墙上打开。因此,必须避免仅仅依赖标准端口或加密来保护 API 通信。相反,您必须深入研究有效载荷,然后解析和理解协议。监视和收集来自多个来源的数据,然后将它们关联起来并进行分析,以便更深入地了解环境中实际发生的情况,这一点也很重要。 结论可以肯定的是,勒索软件攻击和 API 安全性攻击在某些方面是完全不同的。它们涉及到对不同协议的利用,攻击者的目标通常也有所不同。
但就攻击者如何操作、他们想窃取什么(您的数据)以及基于周界的防御、勒索软件攻击和 API 攻击的局限性而言,它们实际上非常相似。
这就是为什么开发人员和 DevOps 团队不需要重新考虑他们的整个安全策略来应对 API 攻击的激增。相反,做你已经在做的来防止勒索软件,并且使用这些技术来帮助保护你的 API。