《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > API上出現(xiàn)了惡意機(jī)器人!如何擊敗API機(jī)器人攻擊?

API上出現(xiàn)了惡意機(jī)器人!如何擊敗API機(jī)器人攻擊?

2022-10-25
來源:FreeBuf
關(guān)鍵詞: API 惡意機(jī)器人

應(yīng)用程序編程接口(API)實(shí)際上是現(xiàn)代應(yīng)用程序的構(gòu)建塊,對(duì)于構(gòu)建和連接應(yīng)用程序及網(wǎng)站都是十分必要的存在。如今,應(yīng)用程序開發(fā)中的API使用已成為新的實(shí)踐標(biāo)準(zhǔn),通過集成第三方服務(wù)的功能,開發(fā)人員不用再?gòu)臒o(wú)到有自己構(gòu)建所有功能,這樣一來可以加快新產(chǎn)品及服務(wù)的開發(fā)過程。

近年來,API的使用更是呈現(xiàn)爆炸式增長(zhǎng)。根據(jù)Akamai的說法,API通信現(xiàn)在占所有互聯(lián)網(wǎng)流量的83%以上。

盡管API支撐著用戶早已習(xí)慣的互動(dòng)式數(shù)字體驗(yàn),是公司數(shù)字化轉(zhuǎn)型的基礎(chǔ),但由于API的防護(hù)薄弱,同時(shí)也為惡意黑客提供了訪問公司數(shù)據(jù)的多種途徑,成為攻擊的主要目標(biāo)之一,特別是惡意機(jī)器人攻擊。

根據(jù)Perimeterx最新調(diào)查數(shù)據(jù)顯示,通過API端點(diǎn)進(jìn)行登錄嘗試的流量中,高達(dá)75%都是惡意的。攻擊者正在系統(tǒng)地使用機(jī)器人進(jìn)行惡意登錄嘗試。那么如何保護(hù)API免受機(jī)器人侵?jǐn)_和攻擊呢?下文將為大家介紹API 機(jī)器人檢測(cè)和防護(hù)的有效方法。

 API機(jī)器人攻擊不斷增長(zhǎng) 

API允許開發(fā)人員更輕松地訪問、重用和集成功能資產(chǎn)和數(shù)據(jù),從而將敏捷性、速度和效率引入開發(fā)流程。這也導(dǎo)致了越來越多的組織過度依賴API,開始部署越來越多的API來幫助實(shí)現(xiàn)自身的數(shù)字化轉(zhuǎn)型計(jì)劃。

API流量不斷增長(zhǎng),但惡意API流量卻增長(zhǎng)得更快。數(shù)據(jù)顯示,Salt Security客戶每月的API調(diào)用量增長(zhǎng)了51%,而惡意流量則增長(zhǎng)了211%。

API經(jīng)常面臨機(jī)器人網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn),如拒絕服務(wù)(DoS)和分布式拒絕服務(wù)(DDoS)攻擊、內(nèi)容和敏感信息抓取、梳理攻擊以及賬戶接管等。

根據(jù)Salt Security于去年2月發(fā)布的報(bào)告顯示,2020年有91%的公司存在與API相關(guān)的安全問題。其中,最常見的是漏洞,涉及54%的受訪組織;緊隨其后的是身份驗(yàn)證問題(46%受訪者)、僵尸程序(20%受訪者)以及拒絕服務(wù)(19%受訪者)。

此外,98% 的組織宣稱發(fā)生過針對(duì)其應(yīng)用程序/網(wǎng)站的攻擊,而82% 的組織報(bào)告說這些是機(jī)器人網(wǎng)絡(luò)攻擊。一些組織每月至少面臨一次 DoS/DDoS 攻擊或某種形式的注入或?qū)傩圆倏v事件。

但糟糕的現(xiàn)實(shí)是,超過四分之一的組織正在沒有任何安全策略的情況下運(yùn)行基于關(guān)鍵API的關(guān)鍵應(yīng)用程序。例如,Peloton最初就是可供任何人在任何地方通過API訪問用戶數(shù)據(jù),而無(wú)需任何身份驗(yàn)證。

 API機(jī)器人攻擊日盛的推動(dòng)因素 

40%的組織報(bào)告稱,由于API的存在,超過一半以上的應(yīng)用程序暴露在第三方服務(wù)或互聯(lián)網(wǎng)上;

基于機(jī)器人的API攻擊更容易編排,因?yàn)榻┦W(wǎng)絡(luò)隨時(shí)可供租用;

傳統(tǒng)的檢測(cè)和預(yù)防技術(shù),如速率限制、基于簽名的檢測(cè)、阻塞協(xié)議等,被發(fā)現(xiàn)無(wú)法抵御高度復(fù)雜的API機(jī)器人攻擊;

惡意行為者正在系統(tǒng)地利用機(jī)器人,組織通常很難區(qū)分人類活動(dòng)和機(jī)器人活動(dòng),以及區(qū)分好的和惡意的機(jī)器人,這嚴(yán)重限制了他們保護(hù)API免受機(jī)器人攻擊的能力;

API請(qǐng)求不經(jīng)過瀏覽器或原生應(yīng)用程序代理的傳統(tǒng)路徑;它們充當(dāng)可以訪問資源和功能的直接管道。這使得API成為攻擊者有利可圖的目標(biāo);

通常,開發(fā)人員使用API的標(biāo)準(zhǔn)/通用規(guī)則集,而不考慮業(yè)務(wù)邏輯。這就為API敞開了業(yè)務(wù)邏輯漏洞的大門,這些漏洞經(jīng)常被機(jī)器人利用來造成嚴(yán)重破壞。

 如何保護(hù)API免受機(jī)器人攻擊影響? 

收集情報(bào),建立正常行為的基線

為了有效地保護(hù)API免受機(jī)器人攻擊影響,組織需要確定什么是可接受的正常行為,以及什么是異常行為。為此,組織的安全解決方案必須監(jiān)控API流量,并通過指紋、行為、模式和啟發(fā)式分析、工作流驗(yàn)證、全局威脅源、網(wǎng)絡(luò)響應(yīng)時(shí)間等收集情報(bào)。這些見解必須與內(nèi)部和外部的信譽(yù)源相結(jié)合,以建立人類和機(jī)器人行為的基線,以及在機(jī)器人行為中,區(qū)分什么是好的和壞的行為。

這個(gè)過程必須是持續(xù)的,因?yàn)閿?shù)字領(lǐng)域正在迅速發(fā)展;攻擊者正在不斷利用復(fù)雜的技術(shù),以確保機(jī)器人能夠模仿人類行為。組織需要不斷地針對(duì)API安全性重新校準(zhǔn)哪些是可接受的和惡意的行為。

持續(xù)監(jiān)控API請(qǐng)求

根據(jù)基線模型細(xì)粒度地監(jiān)控所有API請(qǐng)求。API中的機(jī)器人檢測(cè)過程需要智能(使用自學(xué)習(xí)AI、深度分析和自動(dòng)化)且靈活,以確保實(shí)時(shí)機(jī)器人活動(dòng)檢測(cè)的敏捷性、速度和準(zhǔn)確性。此外,持續(xù)的監(jiān)控和記錄同樣至關(guān)重要。

部署即時(shí)的惡意機(jī)器人緩解技術(shù)

為了保護(hù)API免受機(jī)器人攻擊,組織不能停止實(shí)時(shí)檢測(cè),必須能夠阻止惡意機(jī)器人訪問API和API經(jīng)常暴露的關(guān)鍵任務(wù)資產(chǎn)。為此,智能API機(jī)器人管理解決方案可以即時(shí)、智能地對(duì)抗最復(fù)雜和最隱秘的惡意機(jī)器人。

智能API機(jī)器人管理工具根據(jù)實(shí)時(shí)洞察和信號(hào)決定是否允許、阻止、標(biāo)記或質(zhì)疑傳入的API請(qǐng)求。結(jié)合一個(gè)可靠的錯(cuò)誤管理系統(tǒng),這有助于最大限度地減少誤報(bào)和漏報(bào)。換句話說,它們有助于為惡意機(jī)器人和惡意行為者訪問API、非法流量和良性機(jī)器人增加摩擦力。

實(shí)施零信任架構(gòu)

采用零信任架構(gòu),其中每個(gè)用戶都必須證明自己的身份,并根據(jù)其角色和執(zhí)行必要操作所需的范圍內(nèi)給予訪問權(quán)限。不受限制的、未經(jīng)檢查的權(quán)限和特權(quán)都不利于API安全,特別是針對(duì)諸如憑證填充和暴力攻擊等機(jī)器人網(wǎng)絡(luò)攻擊。此外,組織還可以實(shí)施基于角色的強(qiáng)大訪問控制、強(qiáng)密碼策略和多因素身份驗(yàn)證。

自定義規(guī)則集

根據(jù)上下文智能定制規(guī)則集,以防止機(jī)器人利用API中的業(yè)務(wù)邏輯缺陷和其他漏洞。此外,請(qǐng)務(wù)必在獲得認(rèn)證的安全專家的幫助下,準(zhǔn)確地定制安全策略。



更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。