API 安全见解

在过去几年中，API 已成为严重的威胁媒介。原因很复杂，而且在当今的在线经济中几乎不可避免。应用程序通过 Web 向用户和客户端提供服务，但需要由用户、客户端和其他应用程序访问。API 是这种访问的途径——网络犯罪分子正在使用它。
所需的数量很难理解。“研究表明，一般企业在生产中拥有数百个 API，而有些企业则有超过 1000 个，”Imperva API 安全主管 Lebin Cheng 解释道。在持续的数字化转型和移动计算的扩展的推动下，这一数字正在不断增长。对 API 的依赖的增长速度超过了我们对这种依赖的影响的理解。虽然 API 已经给网络安全带来了明显且现实的危险，但当前的危险很可能会被未来的危险所超越。

明显且现实的危险

API 威胁扩大的原因有很多。下面列出了一些。有些是可以缓解的，但有些是不可避免的固有的。然而，如果不采取安全措施，未来API的威胁只会越来越大。

无障碍

“API 攻击的进入门槛很低，因为它们的文档是公开的信息。黑客很容易利用弱点，获得未经授权的访问，并操纵数据和系统控制的端点。”Graylog 首席执行官 Andy Grolnick 表示。Data Theorem 首席运营官 Doug Dooley 补充道：“随着攻击者将 API 视为大规模数据泄露最有吸引力的入口点，API 攻击可能会增加。”

API 蔓延

“挑战在于许多组织没有适当的防御或控制措施。他们不知道 API 部署在哪里，也不知道正在访问哪些数据。这让他们面临着无法理解、甚至无法量化的风险。”Cheng 说道。
现有的 API 蔓延问题将来只会变得更糟。Rago 补充道：“随着组织努力管理因 API 优先创新和数字化而导致的 API 蔓延混乱，API 攻击将在 2024 年继续以惊人的速度增加。”

开发过程中对速度和安全性的需求

对尽快提供更多 API 的巨大需求给开发人员快速交付带来了巨大压力。同时，API 并不是其主要应用程序开发的一部分。Grolnick 表示：“随着黑客利用 API 的漏洞，预计应用程序级威胁将会激增，而由于对网络级安全的关注，这些漏洞常常被忽视。” Cequence Security 驻场黑客 Jason Kent 补充道：“在 API 安全性发生最重大变化之前，我们将看到危害增加。”

无论是这样还是那样，
“API 安全仍然是应用程序开发和安全团队之间的灰色地带，而且还不是组织的首要任务。不幸的是，尽管人们对 API 安全性的担忧日益增加，但可能需要一次重大攻击才能促进 API 安全性的广泛采用。”Grolnick 表示。

并非所有 API 都同样容易受到攻击
在线银行、移动银行和开放银行迫使金融部门实施 API。这些往往比大多数 API 更安全——仅仅是因为金融部门有更多的损失，并且有更多的资源来防止这种损失。Grolnick 补充道：“由于与 API 攻击相关的财务和声誉风险较高，金融服务等领域的 API 安全市场可能会更快成熟。” 这意味着，如果有足够的激励、理解和资源，API 不必像目前大多数 API 那样脆弱。

明确的和未来的危险

从 2023 年到 2024 年，API 造成的威胁将继续增长和扩大。主要原因包括 API 的使用持续且可能急剧扩大，从而增加了总体威胁面；出现的新漏洞及其相关危害；犯罪分子更多地使用自动化（例如机器人即服务）。

使用量持续增长

Wallarm 创始人兼首席执行官 Ivan Novikov 表示：“API 市场将在 2024 年实现巨大增长。API 在移动和网络开发中日益重要的重要性、促进开放银行和金融 API 的监管变化以及蓬勃发展的电子商务领域进一步支持了这种增长。这些因素共同强调了 API 在连接和支持现代数字生态系统方面的重要作用。”

简而言之，API 的使用仍在扩大。“API 的采用还远未达到顶峰，”Kent 评论道。“随着越来越多的开发商店采用利用更新的 API 技术的框架，API 是移动互联网基础设施的概念将继续下去。”

由于市场规模、现有弱点的持续存在以及犯罪分子的更大关注，当前对 API 的威胁将会增加。当然，我们还没有看到人工智能将为 API 市场带来什么。Dooley 警告说：“受生成式 AI 创新的影响，API 和 API 安全市场的未来可能会变得更加复杂和互联，从而需要新一类的先进安全措施。”

Rago 扩展了同一主题：“到 2024 年，API 生产和使用将继续增加，特别是随着 2024 年许多组织在其业务中采用更多人工智能驱动的流程和解决方案。人工智能需要数据，而 API 是该数据的载体，其中大部分数据将是业务关键数据或敏感数据。在这些情况下，API 蔓延风险太大。”

Noname Security 联合创始人兼首席技术官 Shay Levi 也预计 API 市场将持续扩张。“API 是数字世界的结缔组织，并且没有任何放缓的迹象，”他说。“随着技术的进步，我们看到 API 使用量呈爆炸式增长，同时我们也看到，随着恶意行为者看到 API 带来的机会，全球各地的组织面临着新的且快速增长的威胁。”

新的漏洞和新的妥协

API 是电子商务和交互式互联网的命脉，允许用户和流程与企业 Web 应用程序进行通信。它们促进通信和数据交换。它们提供竞争优势并与盈利能力直接相关——因此，它们的使用将继续增长。到 2024 年，这种增长可能会超过公司应用足够安全的能力。结果将是已知弱点的延续和新漏洞的引入。这种组合将导致攻击和破坏的增加。

“我们今天看到的妥协与不良做法直接相关，需要重点纠正，”肯特评论道。但更快的行动、增加新的开发人员以及普遍关注功能，意味着安全性通常会成为第二优先事项。“在 API 安全性发生最重大变化之前，我们将看到妥协的增加，”他继续说道。

Dooley 表示：“由于 API 威胁不断演变、云原生应用程序的攻击面不断扩大，以及创建企业 AI 助手的 AI 游乐场的快速使用，API 中的新漏洞可能会继续出现。”

TCS 网络安全业务集团战略计划全球负责人 Kanwar Preet Singh Sandhu 博士指出，自 2016 年以来，API 漏洞几乎增加了两倍。考虑到使用范围不断扩大的整体威胁面，几乎没有迹象表明这种情况会在 2024 年放缓。与此同时，单个API的攻击面正在增加。“技术正在迅速发展，并且采用速度极快。新的开发语言、API规范和框架将引入新的漏洞。API 的复杂性正在增加，并导致巨大的攻击面，复杂且高度集成的架构很容易出现新的漏洞，”它警告说。

Novikov 补充道：“随着组织使用的 API 数量成倍增加，数以百万计的公共 API 已经存在并迅速增加，攻击面显着扩大。这种升级，再加上网络威胁不断发展的复杂性，攻击者不断适应并寻找新的方法来利用系统，这意味着新的 API 漏洞将成为一个重大的网络安全问题。”

而且威胁依然存在。肯特补充道。“就像我们在 Web 应用程序中使用 SQL 注入（自 1998 年被命名为 SQL 注入以来）一样，我们的 Web 技术将永远存在缺陷。每当您构建一个任何用户都可以添加输入的复杂系统时，该用户就可以操纵该系统。我们的目标是围绕应用程序消耗和发出的内容保持防护；但这些护栏不断受到测试，并且经常会发现利用缺陷的新方法。”

杜利警告说：“随着攻击者将 API 视为大规模数据泄露最具吸引力的入口点，妥协将会增加。” Sandhu 补充道：“鉴于对 API 的依赖日益增加，以及它成为最受青睐的威胁媒介之一的历史趋势，几乎可以肯定，基于 API 的危害风险将继续增长。”

机器人即服务

机器人即服务 (BaaS) 已经作为整个犯罪即服务犯罪黑社会的一个子集而存在。毫无疑问，这项服务将会或已经扩展到 API 攻击机器人。

最初，BaaS 专注于网络抓取，这是一个法律上的灰色地带。用户提供他们想要抓取的 URL，该服务负责部署高级机器人进行访问。DataDome 研究主管 Antoine Vastel 表示：“这种便利无意中增加了针对 API 的威胁，因为攻击者现在无需深入的机器人知识就可以利用复杂的机器人。”

他解释说，BaaS 概念非常适合大规模 API 攻击。“BaaS 规避了所有基本的 API 安全措施。它采用代理轮换、每个 IP 的速率限制以及住宅代理的位置匹配等技术来最大限度地降低检测风险。此外，BaaS 管理指纹伪造，使用真正的自动化浏览器或低级指纹脚本（例如 TCP/TLC 指纹识别）来生成 WAF 签名。BaaS 还能够熟练地处理验证码传递，显着提高请求的成功率。”

与所有即服务犯罪产品一样，BaaS 可以被视为使精英网络犯罪民主化。“使用 BaaS，非机器人专家可以利用复杂且不易检测的机器人攻击技术来有效地定位和进入 API，”他继续说道。通过 BaaS 访问高级机器人将增加 API 面临的机器人攻击的数量和复杂性，从而提高它们未来面临的安全威胁。

将人工智能加入其中将使威胁进一步复杂化和扩大。“传统上，识别和利用复杂的一次性 API 漏洞需要人工干预。人工智能现在正在改变这一格局，使流程自动化，并实现具有成本效益的大规模攻击。”Levi 警告说。

Apple 的 API 方法

Zimperium 美洲销售工程副总裁 Kern Smith 表示：“从明年开始，Apple iOS 将需要正式支持 EMEA 的第三方应用商店，这带来了组织需要考虑的新威胁面。” 苹果将如何做到这一点目前很大程度上还只是猜测，但史密斯提出了一些建议。

苹果将加强 API 中的隐私关注。Smith 表示：“例如，从 2024 年春季开始，开发人员将需要提供使用某些收集敏感用户数据（例如位置数据和联系信息）的 API 的经批准的理由。” 隐私清单（开发人员在其中披露其应用程序如何收集、使用和共享用户数据）将进行更新，以要求提供更详细的信息，包括收集的具体数据类型、收集的目的以及与第三方合作伙伴共享数据。

将引入新的语音合成 API。“这些 API 将使开发人员能够更好地控制合成语音的音调、音色和节奏，使他们能够创建个性化且引人入胜的语音界面，”他建议道。

辅助功能 API 将得到增强，以提高 iOS 应用程序对残障用户的可用性。

苹果还将继续关注人工智能。“新的 API 的推出使开发人员能够更轻松地将机器学习功能集成到他们的 iOS 应用程序中。这将使开发人员能够为用户创造更加智能和个性化的体验，”他补充道。

Apple 预计在 2024 年重点关注 API，这说明了 API 的价值和危险。它为用户提供增强的用户体验，同时加强防止 API 滥用的防护措施。“Apple 通过其 API 开发工作，在隐私、透明度和创新领域取得了重大进展，”史密斯总结道。“这些变化旨在增强用户隐私，使用户能够更好地控制自己的数据，并为开发人员提供强大的工具来创建更加身临其境、个性化和易于访问的 iOS 应用程序。”

“设计安全”是 API 安全的解决方案吗？

Sandhu 表示：“设计安全作为一个概念是限制 API 漏洞的最有效方法，因为它类似于奠定坚实的基础，而不是事后回顾性地进行拼凑以填补漏洞。” “安全设计可以减少漏洞，因为安全性被主动应用为预防安全问题的基本原则。”

设计安全的概念是当前政府关注的基石。这与要求产品提供商对产品违规承担更多责任有关。如果可以说服或强制产品开发人员在开发过程中更加关注安全性，那么结果将是更安全的产品。这个理论是合理的，但仍然存在一个问题：它是否可以成功应用于 API 开发。

一个问题是 API 本身并不是应用程序，而是允许第三方访问应用程序的渠道。没有人怀疑 API 开发中对安全设计方法的需求，但其总体价值尚不清楚。

Levi 很乐观，相信这将提高 API 的安全性。“考虑安全性的最佳时机，”他说，“是在开发人员编写代码的开始阶段。实现这一目标的一种方法是‘左移’以阻止漏洞进入生产、更快地创新并确保遵守不断变化的监管要求。”

StrikeReady 的首席产品官 Anurag Gurtu 补充道：“安全设计概念可以限制漏洞，但需要开发实践中的文化转变和更强大的安全测试。”

Dooley 提供了一个通用的安全响应：“是的，但是……”是的，设计安全的开发过程“可以帮助识别和解决整个开发过程中的潜在漏洞”，但是“如果没有深入理解组织的风险偏好并使其与风险偏好保持一致”，在技术领先者的流程中，为了追求利润和敏捷性，这些安全防护栏通常会被忽视或绕过。”

诺维科夫的情况并不乐观。他承认这是减少漏洞的关键开发策略，但补充道，“它不能完全消除风险，特别是在 API 泄漏和 API 滥用攻击的情况下。” 这些攻击利用合法功能和授权访问，因此很难仅通过设计来预防。

“安全设计专注于将安全性嵌入到 API 开发生命周期中，其中包括实施强大的身份验证、授权、加密和输入验证，”他继续说道。“然而，API 滥用攻击经常以意想不到的方式操纵这些合法功能。”

他的观点得到了 Wallarm研究的证实，该研究（2023 年 11 月，基于现实事件）列出了十大 API 威胁——包括“注入”、“身份验证缺陷”、“跨站点问题”和“数据泄露” ”作为前四名。

这呼应了肯特的观点：“任何时候你构建一个任何用户都可以添加输入的复杂系统时，用户就可以操纵该系统。” 他认为，一个问题是变化的速度。“你必须记住应用程序变化的速度。今天的正确设计和良好实施可能并不意味着明天的安全......这些类型的设计很难正确完成并确保它们面向未来。”

设计安全性现在是、现在仍然是提供最安全 API 的最佳方式。然而，世界的现实表明该理论在实践中远非完美。

概括

API 已成为现代计算最关键的领域之一。它们正在快速开发和部署。但通过数字化转型、基于云的服务、新的销售助理聊天机器人以及对 IIoT 的日益依赖，对 API 的需求仍在不断扩大 - 因此，开发和部署将继续扩大。

公司需要 API 来提供竞争优势，并被视为提高盈利能力的关键。这给开发商带来了生产更多、更快的压力。这种压力常常会导致错误和遗漏，并且由于开发人员不是安全专家，因此安全性是一种常见的遗漏。

API 攻击面正在扩大并将继续扩大。API 漏洞将继续增加，无论是已知漏洞的数量还是新漏洞的引入。人工智能将帮助犯罪分子发现这些漏洞并大规模利用它们。

唯一可能的结论是，API 攻击是一种明显且现实的危险，这种危险将在 2024 年恶化。

原文出处：https://www.securityweek.com/cyber-insights-2024-apis-a-clear-present-and-future-danger/

---

原文始发于微信公众号（祺印说信安）：2024 年网络安全洞察：API – 明确的、当前的和未来的危险