首页> 安全资讯 > 是什么技术原因,导致各大企业API漏洞层出不穷?

是什么技术原因,导致各大企业API漏洞层出不穷?

发布时间:2024-01-12

计算机环境已从IT时代进入了DT时代,在实际业务应用中,信息资产有着显著的财产和资源属性,企业的业务数据,是企业最本质的生产要素。数据在流动使用中,价值得到了最大的体现,但随之而来的是数据流动中的安全风险。包括员工数据权限管理、用途授权控制粗放、泄露敏感数据、离职员工权限回收等数据安全风险2023年1月,十几个汽车品牌曝出API相关漏洞。远程信息处理系统中的API漏洞不仅仅泄露了客户数据,还允许恶意行为者远程实现按喇叭、闪烁灯、远程跟踪、开关车门、启停车辆等操作; 同月,T-Mobile公开承认,黑客利用一个API漏洞窃取了3700万客户的数据2023年6月,Patchstack研究人员报告称,WooCommerce公司最受欢迎的WordPress支付插件WooCommerce Stripe Gateway中存在一个严重API漏洞,允许未经身份验证的用户查看用户订单的敏感数据,包括电子邮件和完整地址。该漏洞累计泄露50万以上用户的个人隐私数据;同样在6月,Eaton Works的一名研究人员入侵了某知名汽车品牌的电子商务平台,通过利用API接口漏洞,他可以重置任何账户的密码,并获得完整的客户信息、经销商信息、付款密钥和内部财务报告。该事件导致了近4万条车主记录数据被泄露;此外为超过18万家企业提供云“目录即服务”(directory-as-a-service)的软件服务商JumpCloud公司,因API相关漏洞而全部更改了其API应用密钥。上述不乏在行业中取得领先地位的企业,部分企业对API漏洞的防护处于“心有余而力不足”状态,防护能力的增长跟不上业务及系统的发展。公司业务规模越大,内部API存量就越庞大、复杂,潜在的数据泄露风险也越大。当前主要的应用框架都是富客户端模式,服务器端更像是数据源,客户端通过在请求中携带参数从服务器的响应中接收原始数据, 由客户端进行一定的数据处理。这就导致服务器端需要暴露大量的服务接口。个人数据信息流不断开放,流动速度不断加快。同时,业务的不断变化导致接口的生命周期差异很大, 如电商在活动期间上线的功能,在活动结束后相关的功能没有下线, 很容易被攻击者发现并利用。另一方面信息化建设让系统越来越多TOB、TOC、内部系统、共享开放等系统,系统更加多样化,相互间的数据传输大多数采用的API实现方式或前后端分离等技术特点实现,大大增加了API在目前多个行业的场景。API在带来巨大便利的同时也带来了很多安全问题,很多企业甚至自己的不知道有多少API被开放,是否受控使用和有效使用,有怎样的安全风险和隐患,就更不得而知。

API安全造成的影响越来越大,而传统API安全网关的部署与维护成本高,无法有效防护新兴安全威胁。在此背景下,爱加密创新地推出了“爱加密API风险监测平台”,面向Web、APP、小程序、IoT等应用系统的持续动态的流量监测分析系统,帮助实现API数据暴露面的治理和对数据攻击行为的持续发现。部署在企业/组织的互联网出口,实时监控企业组织API的数据暴露面以及被攻击情况。实现API的资产管理、API弱点发现、实时攻击行为监测,为业务创新保驾护航。爱加密API风险监测平台通过对镜像流量和pcap文件中的流量进行解析还原,自动发现流量中的API资产并聚合到应用维度,最终以概览、APIs、弱点、风险、态势、报告等维度呈现给用户,实时为API安全提供保障。可通过syslog或kafka的形式对流量 数据进行同步处理,  帮助用户及时发现弱点&攻击的变动情况

API资产全面可见

 

系统通过解析API流量,自动持续发现所有内部、外部和第三方 API,提供参数、参数函数和暴露的敏感数据等精细细节,帮助了解攻击面并评估风险。自动对接口进行分类,识别未知的API与过时、失活的API,有效地减少甚至避免这些未知或失活的API对组织构成重大风险。支持普通接口、Restful接口、when-case接口,支持覆盖个人信息安全规范上的9大类共计71小类数据标签的自动识别和打标。通过识别数据暴露面,形成一个数据暴露面清单,方便对API数据暴露面进行管理防止敏感数据被泄露。并可对应用结构的深度还原,还原应用的结构特征。

API弱点梳理

 

系统可基于流量中的API资产自动发现API弱点,并针对这些弱点特征进行合理的分类分级,支持5大类21小类的弱点监测,支持检测的弱点类型覆盖了口令认证类、数据暴露类、访问权限类、高危接口类、安全规范类等维度。不仅能提供API弱点还可提供补救见解,显示弱点详细信息;还原接口的请求和返回内容,提供查看接口样例的功能,能够减少排查时间并帮助客户安全团队高效地进行脆弱性修复。

实时攻击行为检测

 

系统会通过无监督学习算法主动对API接口进行攻击学习,识别API扫描、试探等攻击风险,内置大量基于上下文的数据攻击风险规则,帮助用户精准定位数据泄露源头,整合风险事件类型。相对于传统安全中无上下文识别引擎的WAF,系统会去对数据行为进行上下文分析,发现有价值的数据泄露风险,减少误报。供关联风险的威胁IP画像与分类;事件样例还原帮助客户进行溯源分析应对攻击。爱加密API风险监测平台支持旁路镜像、Agent模式部署,并可同第三方平台的无缝对接,支持通过数据订阅、开放API的形式把系统中的资产、弱点、风险等信息同步到客户的第三方平台中。

爱加密致力于帮助企业发现、保护处于互联网暴露面上的API,并利用机器学习、AI和大数据引擎来发现所有API及其暴露的数据,从而防范API攻击并从源头消除漏洞,帮助企业减少安全隐患,减少数据泄露事件,共同守护互联世界。

 

END

欢迎给我们留言或评论~

我们将持续发布技术解读、解决方案、行业报告

点击关注,不错过下次精彩内容

加入收藏