有鑑於應用程式介面(API)安全需求逐年上升,Akamai繼2023年收購Neosec取得API安全防護技術,日前再次收購Noname Security,為API安全解決方案擴展安全技術,讓企業得以及早發現「影子」API,並偵測漏洞和進階威脅攻擊活動。
根據Akamai發布的2024年度《全球網路狀態報告》統計,過去一年的網路攻擊活動中有29%針對API,顯示出API已成為網路罪犯的重點攻擊目標。攻擊手法則是涵蓋了開放網路應用程式安全計畫(OWASP)列出的API安全十大風險和網路應用安全風險,例如不受限存取敏感商務流程、伺服器端請求偽造、API不安全使用等弱點來滲透入侵應用服務。
Akamai大中華區資深技術顧問王明輝指出,現階段API安全風險因素中,最棘手的問題可說是業務邏輯濫用。若不具備API行為的準則,將難以偵測與判斷異常API活動,大幅提高運行階段遭遇攻擊的風險。典型的案例即為資料抓取(Data Scraping),這是一種新的資料洩露途徑,攻擊者可透過驗證後的API慢慢抓取機敏資料。
API是當前數位轉型的核心,為避免發生詐騙、濫用、授權等問題,企業在制定應用服務的資安策略時,勢必需要納入合規性要求與應對新興攻擊手法的措施,以避免未來需要重新設計服務架構。這不僅有助於加強安全防護,也能在日益嚴峻的網路安全環境中保持競爭力。
法規要求API風險管控
近年來金融監督管理委員會(簡稱金管會)針對API的安全管理十分看重,且對金融相關企業提出了明確要求,須全面盤點並清查企業內部使用的API是否不當地對外開放,並著重驗證對外提供服務的API,存取認證機制的有效性,以及相關安全設計的妥適性,以確保客戶個人資料的安全及維護客戶權益。
王明輝說明,從日趨嚴格的法規,可看出當前API安全不足之處。首先,金管會指出有機構未能建立完善的API盤點機制,因此無法完整掌控開放予網際網路的API,也未能將這些API納入嚴格的監控之中。這些未經盤點的API,如果誤被對外開放,將可能導致未經授權的資料存取,增加資安風險。
其次,對於那些已對外開放的API,若未建立妥善的驗證機制,則可能允許未經授權的存取,使得大量客戶相關資料有被非法取得的風險。即便設有認證機制,如果帳號與密碼的隱密性不足,同樣可能導致用於API認證的金鑰外洩。
再者,部分API未設計建置有效的防禦機制,例如缺乏網頁應用程式防火牆(WAF)或API管理系統(APIM)的保護,使得這些API容易受到如資料庫注入攻擊(SQL Injection)等威脅。攻擊者可透過這些漏洞取得資料庫內所有個人資料,或是透過上傳惡意檔案(例如木馬、病毒、惡意指令碼或Webshell等)進行攻擊,影響系統的正常運作。
王明輝以知名的美國加密貨幣交易所Coinbase舉例,2022年曾發生因交易介面缺陷支付有史以來最大的漏洞賞金25萬美元,該安全漏洞主要源於API的程式碼設計。Coinbase加密平台交易介面的API包含了處理交易功能,其中涉及到買賣雙方的帳號以及交易金額。在這個流程中,研究人員發現一個嚴重的漏洞:他們可以隨意更改比特幣錢包的來源,意即可以從任何帳號提取比特幣並賣給其他帳號。這個問題的核心在於帳號與錢包之間未進行嚴格綁定,導致身分驗證機制失效。
Akamai大中華區資深技術顧問王明輝指出,許多資料外洩事件的根源,在於程式碼或功能邏輯的設計不當,藉由行為分析機制,可有效阻止看似合法的用戶進行非法行為,保護系統免受內部或外部的潛在威脅。
此類API攻擊通常利用程式邏輯上的缺陷,並非傳統的WAF(網頁應用程式防火牆)等網路安全技術所能輕易防範。攻擊者只需在交易後修改某些參數,就能繞過一般的防禦機制。因此,了解並分析程式碼變得極為重要,以便及時發現和修補這些安全漏洞,強化API的安全性。
API安全的重要性,從金管會開始明文要求也可見一斑。市場上的Web應用與API保護(WAAP)解決方案正可協助企業建立防護措施,強化API安全管理以避免爆發資安事故。
資料湖收集大數據分析程式行為
Akamai打造的WAAP解決方案,具備網頁應用程式防火牆、殭屍程式緩解、API安全防護、DDoS緩解技術,可快速地識別漏洞攻擊程式,以免造成營運損失。針對API保護,其方案能有效防範API遭到濫用、資料盜竊以及其他形式的惡意流量攻擊。在對抗機器人和爬蟲程式方面,Akamai解決方案可以識別並阻止惡意機器人活動,保護應用程式和API不被資源耗盡。
王明輝指出,為解決影子API與濫用問題,讓IT或資安人員有能力掌握API安全態勢,Akamai架構了一個分析平台,採取了資料驅動的機器學習演算模型來應對。透過收集大量資料,Akamai使用機器學習演算法建立了正常的使用行為模式。這些模式以時間軸為基礎,建立行為基準線,以便於監測和識別異常行為。當系統在時間軸上識別到異常行為時,會發出告警,並說明異常行為的性質及可能的風險。此外,Akamai還提供API閘道,具備身分驗證與授權、速率限制等功能。
Akamai的API安全平台是雲原生且完全託管的,在安全資料湖(Data Lake)之上運行行為模式分析,支援發現、分類、漏洞評估、調查和威脅追蹤能力。王明輝說明,在追蹤API行為的技術實作方面,Akamai利用機器學習演算模型來持續監控和分析數據,可說是較特別之處。以往IT維運方式,大多是在資料中心內的核心交換器旁增添封包複製機制,以便能夠釐清使用者行為資訊。然而,在現代化的API Gateway或是Akamai的Edge端,這種方法難以直接適用。
對此,Akamai的解決方案設計增添了一個API安全平台,藉由資料湖負責儲存和處理收集來的大量數據。透過這些數據,機器學習演算法能夠建立和維護正常的行為模型,並持續監控所有進出API Gateway的溝通流量。這種架構不僅提高了資料處理的彈性,也增強了安全防護的能力,使得Akamai能在第一時間內識別並應對各種潛在的安全威脅。
對於資安要求較高的企業,亦可藉助API Security ShadowHunt,一項管理式威脅狩獵服務,讓擁有API威脅獵捕專業技能的分析師來增進攻擊識別能力。ShadowHunt的運作是基於API安全平台收集的資料與自動化分析機制,能夠偵測行為偏差和漏洞利用情況,機器學習的訊號會傳送給ShadowHunt分析師進行調查。由於分析師熟悉客戶的API資源,他們能迅速識別威脅活動,並即時提出告警與修復建議。此外,亦可每月審查API資產,讓企業可掌握安全態勢。