API上出现了恶意机器人！如何击败API机器人攻击？

用程序编程接口（API）实际上是现代应用程序的构建块，对于构建和连接应用程序及网站都是十分必要的存在。如今，应用程序开发中的API使用已成为新的实践标准，通过集成第三方服务的功能，开发人员不用再从无到有自己构建所有功能，这样一来可以加快新产品及服务的开发过程。

近年来，API的使用更是呈现爆炸式增长。根据Akamai的说法，API通信现在占所有互联网流量的83％以上。

尽管API支撑着用户早已习惯的互动式数字体验，是公司数字化转型的基础，但由于API的防护薄弱，同时也为恶意黑客提供了访问公司数据的多种途径，成为攻击的主要目标之一，特别是恶意机器人攻击。

根据Perimeterx最新调查数据显示，通过API端点进行登录尝试的流量中，高达75%都是恶意的。攻击者正在系统地使用机器人进行恶意登录尝试。那么如何保护API免受机器人侵扰和攻击呢？下文将为大家介绍API 机器人检测和防护的有效方法。

API允许开发人员更轻松地访问、重用和集成功能资产和数据，从而将敏捷性、速度和效率引入开发流程。这也导致了越来越多的组织过度依赖API，开始部署越来越多的API来帮助实现自身的数字化转型计划。

API流量不断增长，但恶意API流量却增长得更快。数据显示，Salt Security客户每月的API调用量增长了51％，而恶意流量则增长了211％。

API经常面临机器人网络攻击的风险，如拒绝服务（DoS）和分布式拒绝服务（DDoS）攻击、内容和敏感信息抓取、梳理攻击以及账户接管等。

根据Salt Security于去年2月发布的报告显示，2020年有91％的公司存在与API相关的安全问题。其中，最常见的是漏洞，涉及54%的受访组织；紧随其后的是身份验证问题（46%受访者）、僵尸程序（20%受访者）以及拒绝服务（19%受访者）。

此外，98% 的组织宣称发生过针对其应用程序/网站的攻击，而82% 的组织报告说这些是机器人网络攻击。一些组织每月至少面临一次 DoS/DDoS 攻击或某种形式的注入或属性操纵事件。

但糟糕的现实是，超过四分之一的组织正在没有任何安全策略的情况下运行基于关键API的关键应用程序。例如，Peloton最初就是可供任何人在任何地方通过API访问用户数据，而无需任何身份验证。

40%的组织报告称，由于API的存在，超过一半以上的应用程序暴露在第三方服务或互联网上；

基于机器人的API攻击更容易编排，因为僵尸网络随时可供租用；

传统的检测和预防技术，如速率限制、基于签名的检测、阻塞协议等，被发现无法抵御高度复杂的API机器人攻击；

恶意行为者正在系统地利用机器人，组织通常很难区分人类活动和机器人活动，以及区分好的和恶意的机器人，这严重限制了他们保护API免受机器人攻击的能力；

API请求不经过浏览器或原生应用程序代理的传统路径；它们充当可以访问资源和功能的直接管道。这使得API成为攻击者有利可图的目标；

通常，开发人员使用API的标准/通用规则集，而不考虑业务逻辑。这就为API敞开了业务逻辑漏洞的大门，这些漏洞经常被机器人利用来造成严重破坏。

收集情报，建立正常行为的基线

为了有效地保护API免受机器人攻击影响，组织需要确定什么是可接受的正常行为，以及什么是异常行为。为此，组织的安全解决方案必须监控API流量，并通过指纹、行为、模式和启发式分析、工作流验证、全局威胁源、网络响应时间等收集情报。这些见解必须与内部和外部的信誉源相结合，以建立人类和机器人行为的基线，以及在机器人行为中，区分什么是好的和坏的行为。这个过程必须是持续的，因为数字领域正在迅速发展；攻击者正在不断利用复杂的技术，以确保机器人能够模仿人类行为。组织需要不断地针对API安全性重新校准哪些是可接受的和恶意的行为。

持续监控API请求

根据基线模型细粒度地监控所有API请求。API中的机器人检测过程需要智能（使用自学习AI、深度分析和自动化）且灵活，以确保实时机器人活动检测的敏捷性、速度和准确性。此外，持续的监控和记录同样至关重要。

部署即时的恶意机器人缓解技术

为了保护API免受机器人攻击，组织不能停止实时检测，必须能够阻止恶意机器人访问API和API经常暴露的关键任务资产。为此，智能API机器人管理解决方案可以即时、智能地对抗最复杂和最隐秘的恶意机器人。智能API机器人管理工具根据实时洞察和信号决定是否允许、阻止、标记或质疑传入的API请求。结合一个可靠的错误管理系统，这有助于最大限度地减少误报和漏报。换句话说，它们有助于为恶意机器人和恶意行为者访问API、非法流量和良性机器人增加摩擦力。

实施零信任架构

采用零信任架构，其中每个用户都必须证明自己的身份，并根据其角色和执行必要操作所需的范围内给予访问权限。不受限制的、未经检查的权限和特权都不利于API安全，特别是针对诸如凭证填充和暴力攻击等机器人网络攻击。此外，组织还可以实施基于角色的强大访问控制、强密码策略和多因素身份验证。

自定义规则集

根据上下文智能定制规则集，以防止机器人利用API中的业务逻辑缺陷和其他漏洞。此外，请务必在获得认证的安全专家的帮助下，准确地定制安全策略。 

原文链接：

https://www.helpnetsecurity.com/2022/09/12/api-bot-attacks/

声明：除发布的文章无法追溯到作者并获得授权外，我们均会注明作者和文章来源。如涉及版权问题请及时联系我们，我们会在第一时间删改，谢谢！文章来源：网络、FreeBuf