网络安全攻防演练中不能忽视的API风险

网络安全建设效果检验，还得看攻防演练。网络安全实战攻防演练因攻防双方是在真实的网络环境中开展对抗，更贴近事实，成为检验关键信息基础设施系统网络安全防护能力的常态化方式。

尽管很多单位组织在各种大大小小的攻防演练中练就了一身铜墙铁壁，但随着组织数字化进程的加快以及业务的迅速发展，总有一些跟不上变化的风险点拖了后腿。今天就一起盘一盘那些在实战攻防能力建设过程中容易被忽略的风险点并提供相应的防护策略。

从以往的实战案例来看，各组织单位在攻击面梳理过程中容易忽略的几个关键点：

1. 影子API

在资产梳理过程中，难免有些资产在安全视线之外，如有些API没有经过WAF或API网关，这些API可能是历史遗留下来的僵尸API，由于缺乏安全防护容易被攻击。

2. 逻辑漏洞

传统安全检测产品很难发现未授权访问、越权访问、允许弱密码、错误提示不合理、未禁用目录浏览等逻辑漏洞（安全缺陷）。如，攻击者利用未授权访问、越权访问漏洞，获取到管理员账号密码等敏感数据，或者直接执行高权限动作，进而获取到系统控制权。

3. 涉敏流量

现有WAF、API网关等产品更多是对入站流量的检测，缺乏对出站流量的检测，出站流量中如果暴露了明文的敏感数据，可能会被攻击者加以利用，比如获取到内部员工的邮箱后，发送钓鱼邮件。

4. 高危组件

承载API的后端组件可能存在安全隐患（比如没有修复某个高危漏洞），同时这些组件因为API对外提供业务而暴露在互联网中，往往会成为攻击者的攻击目标。

众所周知，API是支撑线上应用连接和数据传输的关键，承载着企业核心业务逻辑和大量敏感数据，在应用环境中非常普遍。数字时代的今天，各行各业都有大量的API去支撑业务交互：

这些承载着大量高价值数据的API是网络黑客关注的重点，自然也是攻击方眼中的“香饽饽”。2021年网络安全攻防演练中被爆出已被利用的漏洞中就有不少API漏洞：

那么，在网络安全攻防演练中攻击方是如何攻击这些API的呢？

基于过往实战案例，攻击方针对API的常见攻击手法有以下几种：

1. 暴力破解/撞库攻击

攻击方通过扫描发现管理后台登录页面，并针对登录接口进行撞库或暴力破解，获取到账号密码后直接登录后台，或者利用获取的邮箱、手机号等信息进行钓鱼、社工等攻击，直至进入到企业内网获取更多的权限。

2. 危险路径扫描

某些后端组件由于默认配置或错误配置，导致向互联网暴露了一些不必要的API，其中有些API可执行高权限操作或获取敏感数据，而攻击者则可以通过路径扫描，定位到这些API的路径。

3. 漏洞扫描

随着业务的快速发展，API的迭代和发布周期也随之加快，在“重业务、轻安全”理念驱使下，很多API在开发过程中就存在漏洞，攻击者通过漏洞扫描器对站点发起扫描，以此发现存在漏洞的API，并发起攻击。

在了解了攻防演练中那些容易被忽略的API安全风险点和攻击方常见的攻击套路后，各组织单位想要在攻防演练中不失分，还需要从自身业务安全出发制定相应的API安全管理策略：

为此，永安在线基于全网威胁情报及攻击方的攻击思路，结合大量API攻击的实际案例，推出针对网络安全攻防演练场景的API安全管理方案，帮助用户更有效地开展攻防演练备战工作，提升网络安全防御水平。

最佳实践：

基于情报的新一代API安全管控平台

永安在线新一代API安全管控平台通过旁路镜像的方式提供API资产动态梳理、API缺陷持续评估、API攻击持续评估等能力，帮助各组织单位在网络安全攻防演练中构建以API为中心、可预防、可解释、可溯源的安全管理体系。

1. 资产动态梳理

1）通过自动化识别业务API调用关系，全面、持续清点API接口，包括影子API和僵尸API、老版本和功能重复的API，缩小风险暴露面。

2）持续监测敏感数据流动，支持84种敏感数据识别，支持敏感数据自定义检测，减少数据暴露面。

3）持续动态梳理系统访问账号，多维度记录账号访问和操作行为，主动识别风险动作，同时也为企业提供行为溯源能力。

2. 缺陷持续评估

1）全面、持续评估API缺陷，支持7大类46项安全缺陷，全面覆盖OWASP API Top10安全问题；

2）通过完整、清晰的缺陷样例和自动化验证流程，帮助企业提升缺陷修复效率。

3. 攻击精准感知

1）基于情报构建API行为基线，及时发现API攻击、账号异常、IP攻击等风险。

2）系统支持输出多维度IOC异常标识，联动WAF、风控等快速自动化阻断。

永安在线新一代API安全管控平台具备以下优势：

永安在线新一代API安全管控平台

以情报为基础，先于攻击者发现攻击面

安全每一个API

如有您也有API安全管理的烦恼

欢迎申请试用API安全管控平台