伴随互联网的广泛应用和快速升级，企业内部应用逐渐由单一架构发展为低耦合、高内聚的服务网格架构，业务应用内部的数据交换大量采用API方式进行连接，导致企业API数量呈现指数级爆发式增长，API安全性受到极大挑战。

API可以快速轻松地访问数据、资源和功能。截至目前，全球使用的公共API和私有API总数约为2亿个，API的重要性不言而喻，伴随BOT攻击等各类黑客工具和服务的攻击方式层出不穷，API攻击者数量及潜在攻击的数量迎来飙升。

1

BOT（机器人）攻击指的是什么？

BOT（机器人）是用于机器对机器通信的自主程序，可以进行自由编程，以便在无需人工干预的情况下执行功能和执行Web请求，并将HTTP流量从IP地址发送到目标系统。僵尸网络是一堆协同工作的机器人程序，规模从几百个IP地址到几千个IP地址不等。

BOT（机器人）攻击最初用于向目标发送垃圾邮件，目前已经发展为可以执行高度模仿人类行为的复杂攻击。在BOT（机器人）攻击中，恶意分子利用机器人程序来操纵、欺诈或扰乱目标网站、应用程序、最终用户或API。

2

攻击者为什么利用BOT（机器人）对API展开攻击？

通过编程暴露数据、资源和业务逻辑

由于API连接不同应用程序，提供对数据和资源等资产的编程访问，并使多个客户能够轻松集成和共享。便利性的背后，是不可估量的安全风险：暴露高价值的功能和业务逻辑，并使资源容易被发现，加大暴露敏感信息的风险。

API 缺乏可见性

由于整个生命周期内的API缺乏可见性，使其成为BOT（机器人）攻击的诱人目标。企业不了解存在哪些API，如何审查、管理和保护API，导致存在易受攻击的API、影子API、僵尸API、流氓API和配置错误的 API，急剧加大风险。攻击者利用BOT（机器人）分析组织的IT架构，并四处寻觅API中的薄弱环节。

BOT（机器人）程序的隐蔽性

BOT（机器人）程序易于用在API攻击上，是因为其极其隐蔽，不易被传统安全工具、甚至更高级的安全工具检测出来。例如，用户临时调整API身份验证规则，以便在三次登录尝试失败后冻结帐户。在撞库攻击中，尝试两次失败后，机器人程序则会改用另一个IP地址，再次进行访问，在没有人工干预的情况下，根据设定的规则和学习能力做出决定。

BOT（机器人）被用来掩护其他攻击

机器人攻击通常被攻击者用作干扰或掩护，以策划其他类型的API滥用。比如说，攻击者可能利用僵尸网络触发数以千计的安全警报，好让安全团队无暇干预。

传统工具无力应对现代机器人程序

传统的安全工具不能检测API机器人程序攻击，无法有效区分机器人程序活动和人类活动，无法有效区分好的机器人程序活动和坏的机器人程序活动。其次，机器人程序留下的线索较少、API收集的细节较少，传统工具无法有效判断API调用恶意还是合法。

业务逻辑缺陷

开发人员使用通用规则集，并默认配置API，带来业务逻辑缺陷，机器人程序可利用这些缺陷造成严重破坏，同时通过看似合法的API请求逃避检测。

针对API的机器人程序攻击更容易发起

机器人、僵尸网络和攻击工具包容易租用，而且价格低，攻击者不需要太多资源或深厚的技术知识就能发起API机器人攻击。

BOT（机器人）对API 展开攻击的步骤如下：

1. 侦察：利用机器人程序和僵尸网络发掘易受攻击的API端点、测试检测阈值和分析攻击面等。

2. 攻击：机器人程序和僵尸网络用于攻击API。一些常见的API机器人程序攻击包括撞库攻击、蛮力攻击、内容抓取攻击和注入攻击等。

3. 规避：在基于API的攻击中，攻击者还利用机器人程序和僵尸网络通过隐蔽行为或制造干扰来规避安全防御系统。

3

如何避免受到BOT（机器人）攻击？

• 收集情报，并为机器人程序针对API的平常行为建立基线。

• 监控所有入站API请求，以便在侦察阶段发现并阻止异常行为。

• 部署的安全工具应该能够根据具体情况智能化地允许、阻止、标记或质询入站流量，无需太多的人为干预。

• 利用行为和模式分析、工作流验证和指纹识别技术，有效地区分人类活动、好的机器人程序活动和坏的机器人程序活动。

• 持续扫描、测试和监控API，寻找是否存在错误配置、漏洞和业务逻辑缺陷。

• 使用零信任策略，加强访问控制和身份验证机制。

• 保持API规则更新。

4

梆梆API安全平台
端到端的全渠道风险防护

梆梆安全—API安全平台通过对 API 上线运行后的数据流量实时检测，解决 API上线运行后面临的各种安全风险，为企业建立一套完整的 API 安全防御管控机制，产品从API 资产管理、 API 风险检测、 API 敏感数据识别、API 防护管控四大核心模块，解决资产数据难治理、风险行为难发现、数据泄露难感知、威胁攻击难防护等四大安全问题，帮助企业梳理出清晰的 API 资产台账、看清 API 风险、掌握 API 异常行为、可视化展现 API 敏感数据包括数据流动画像，以及对威胁攻击建立起安全防护机制。针对愈演愈烈的API攻击途径，为企业建立了“端到端的全渠道风险防护”体系，如下：

01

静态防御措施全渠道覆盖

业务渠道众多，加上部分 API 接口存在多渠道 API 接口共用，攻击者发起攻击时，往往选择防护能力最弱的渠道，故在做静态防御措施时需要完成全渠道覆盖。

02

动静结合&端到端联动

动静结合的安全防御策略是一种使用广泛的安全防御思路，动态安全防御机制需要与现有的静态防御机制进行联动及协同防御。在端到端的全渠道API安全防御思路中，动态防御机制需要：

• 实时感知客户端风险，如加固破解、动态攻击等；

• 将前端风险感知与后端流量感知结合，实现端到端的安全协同；

• 将前端风险感知能力纳入当前的静态保护范围，防止被逆向分析。

03

实时防御&全渠道联动

前端风险防御机制需做到实时防御，同时防御措施需要实现多样化；
防御需要覆盖不同的业务渠道，同时不同渠道安全防御能力能够做到联防联控，如针对APP的攻击识别情报能够同步对轻应用侧协同。

梆梆安全将结合自身多年的安全实践与技术优势，为企业用户提供适应新要求、新形势下的新一代API风险解决方案，构建合规要求下的数据安全治理体系，持续提高数据安全治理能力。

参考链接

https://hackernoon.com/the-role-of-bots-in-api-attacks

原文始发于微信公众号（梆梆安全）：API 安全专题（十）|BOT（机器人）攻击在API攻击中扮演的角色