應(yīng)用程序編程接口(API)已經(jīng)成為網(wǎng)絡(luò)、程序、應(yīng)用、設(shè)備以及計算領(lǐng)域中幾乎所有東西的關(guān)鍵部分。對于云計算和移動計算來說尤其如此,如果沒有API將所有內(nèi)容整合在一起或管理大部分后端功能,云計算和移動計算都不可能以目前的形式存在。
由于其可靠性和簡單性,API在整個計算領(lǐng)域已經(jīng)無處不在。大多數(shù)企業(yè)可能甚至不知道有多少API在他們的網(wǎng)絡(luò)中運行,尤其是在他們的云平臺中。大型企業(yè)中可能有成千上萬的API在工作,小型企業(yè)也依賴著比他們知道的更多的API。
API帶來的風(fēng)險
盡管API變得越來越有用,但它們的使用也帶來了風(fēng)險,創(chuàng)建API的標準很少,而且許多標準都是唯一的,因此,API包含可利用漏洞的情況并不少見。惡意分子發(fā)現(xiàn),攻擊API通常比直接攻擊程序、數(shù)據(jù)庫、應(yīng)用程序或網(wǎng)絡(luò)容易得多。API一旦被入侵,改變API的功能并不難,因此,API也成為一種為黑客工作的幕后黑手。
API帶來的另一個風(fēng)險是,它們幾乎總是被過度許可,程序員給予它們很高的權(quán)限,這樣它們就可以在不中斷使用的情況下執(zhí)行自己的功能,但是,如果網(wǎng)絡(luò)攻擊者破壞了API,那么他們就可以使用這些高權(quán)限來做其他事情,就像他們破壞了管理員的帳戶一樣。這已經(jīng)成為一個嚴重的問題,CDN服務(wù)提供商Akamai公司的研究表明,針對API的攻擊占了全球所有憑證竊取嘗試的75%,網(wǎng)絡(luò)攻擊者知道API既易受攻擊又無處不在,因此時刻都在攻擊它們。
API安全工具的興起
考慮到攻擊API這一問題的嚴重性,近年來API安全工具的數(shù)量激增也就不足為奇了。如今有幾十種商業(yè)工具被設(shè)計用來保護API,還有數(shù)百種免費或開源的工具。許多與其他類型的網(wǎng)絡(luò)安全程序有相似的功能,但它們是專門為API的獨特性質(zhì)而配置的。
一般來說,API安全工具可以分為幾類,有些工具提供了嘗試一次性完成所有任務(wù)的完整平臺。目前最流行的API安全工具類型是那些保護API免受惡意請求的工具,這有點像API防火墻。其他工具被設(shè)計用于動態(tài)訪問和評估特定API以查找漏洞,從而加強其代碼以抵御攻擊。還有一些工具只是掃描環(huán)境,這樣企業(yè)就可以發(fā)現(xiàn)他們的網(wǎng)絡(luò)中存在多少API,因為沒有人可以保護他們不知道的東西。
考慮到API網(wǎng)絡(luò)安全工具的數(shù)量,試圖編制一個完整的API網(wǎng)絡(luò)安全工具列表是很困難的,但通過研究用戶和商業(yè)評論,一些工具開始脫穎而出。以下是一些可用于幫助增強API安全性的頂級工具,并簡要介紹了它們的優(yōu)點和功能。雖然有數(shù)百個工具未列入此列表,但這提供了一個很好的參照,說明了哪些是可用的工具,可以保護API避免遭受當今日益嚴重的網(wǎng)絡(luò)攻擊。
以下是目前可用的9種頂級API安全工具:
(1)APIsec
作為最流行的API安全工具之一,APIsec幾乎是完全自動化的,非常適合剛剛開始提高API安全性的企業(yè)。在已經(jīng)建立API的生產(chǎn)環(huán)境中,APIsec將掃描API并測試常見漏洞,例如腳本注入攻擊,它也將對每個API進行完全的壓力測試,以確保它能夠抵御業(yè)務(wù)流程攻擊等不容易檢測到的網(wǎng)絡(luò)攻擊。如果發(fā)現(xiàn)問題,它將標記這些問題,并為安全分析人員提供詳細信息。
APIsec也可以在創(chuàng)建API時被開發(fā)人員主動使用。這樣,任何漏洞都可以在API使用之前被消除,APIsec在API部署后繼續(xù)監(jiān)視,以防萬一。
(2)Astra
Astra是一個免費的工具,這意味著支持有限。用戶需要從GitHub獲取并安裝到他們的環(huán)境中,該工具在幫助管理和保護非常特定類型的API方面享有很高的聲譽。
Astra專注于代表性狀態(tài)轉(zhuǎn)移(REST)API,由于它們經(jīng)常發(fā)生變化,因此測試和保護這些API非常困難。Astra通過集成到企業(yè)的持續(xù)集成(CI)/和持續(xù)交付(CD)管道中提供幫助,它確保了可能影響API的最常見的漏洞不會蔓延到所謂安全的RESTAPI,因為它們作為其功能的一部分不斷變化。
(3)AppKnox
AppKnox以非常支持其用戶基礎(chǔ)而聞名。該平臺有一個非常易于使用的界面,該公司在部署和使用它時也提供了很多幫助。AppKnox這一工具已經(jīng)進入了許多擁有小型安全團隊的企業(yè),因為它能夠以最小的努力支持API安全性的添加。
一旦安裝,AppKnox將測試API的常見問題,例如HTTP請求漏洞、SQL注入漏洞等,它還掃描與API連接的所有資源,以確保它們不會成為黑客的有效攻擊路徑。
(4)CequenceUnifiedAPIProtection
CequenceUnifiedAPIProtection保護平臺專為部署企業(yè)環(huán)境的企業(yè)而設(shè)計,這些企業(yè)每天可能需要處理數(shù)十億個對其API的請求。可擴展的保護平臺首先檢測企業(yè)內(nèi)的所有API,然后將它們歸檔到一個廣泛的目錄中。然后,可以對API進行漏洞的通用測試,或者安全團隊可以定義需要在API組上執(zhí)行的特定測試。這不僅對保護API非常有幫助,而且還有助于遵守需要特定保護的政府法規(guī)或行業(yè)標準。
(5)DataTheoremAPISecure
DataTheoremAPISecure可以清點網(wǎng)絡(luò)、云計算、應(yīng)用程序或任何其他目標中存在的每個API。對于那些想要加強API安全性,但不知道從哪里開始,甚至不知道他們正在使用多少API的企業(yè)來說,這是一個很好的選擇。APISecure還保持API庫存的最新狀態(tài),在部署時快速查找任何新的API。
一旦定位,API安全將像黑客一樣測試每個API的漏洞。然后,它可以標記該API,讓工作人自行檢查或自動修復(fù)許多漏洞。
(6)SaltSecurityAPIProtectionPlatform
SaltSecurityAPIProtectionPlatform非常先進,是首批充分利用人工智能和機器學(xué)習(xí)來檢測和阻止針對API的威脅的平臺之一。該平臺通過收集整個網(wǎng)絡(luò)上的API流量來實現(xiàn)這一點,分析對API的調(diào)用以及它們的響應(yīng)。然后,它將在本地看到的數(shù)據(jù)與存儲在基于云計算的大數(shù)據(jù)引擎中的流量數(shù)據(jù)進行比較。然后,它可以阻止大多數(shù)網(wǎng)絡(luò)攻擊并突出顯示可疑活動,提醒安全團隊或根據(jù)其設(shè)置采取行動。
隨著時間的推移,這一平臺會不斷學(xué)習(xí),它檢查API網(wǎng)絡(luò)的時間越長,在確定特定網(wǎng)絡(luò)上哪些行為是可接受的時候就越準確。
(7)NonameSecurity
NonameSecurity在大企業(yè)中建立了良好的聲譽。據(jù)報道,20%的財富500強公司都在使用它。它的設(shè)計目的是通過分析通過API移動的流量數(shù)據(jù),超越一些平臺提供的標準API漏洞檢查保護。然后,它利用人工智能和機器學(xué)習(xí)來查找惡意活動。
NonameSecurity在測試中支持使用通用和非標準API。例如,它完全支持HTTP、RESTful、GraphQL、SOAP、XML-RPC、JSON-RPC和gRPCAPI。使用流量數(shù)據(jù),它甚至可以發(fā)現(xiàn)、分類和保護不受API網(wǎng)關(guān)管理的API,或者不遵循任何標準協(xié)議的本地API。
(8)SmartbearReadyAPI
專注于開發(fā)環(huán)境,SmartbearReadyAPI不僅可以用于在構(gòu)建API時測試API的安全漏洞,還可以監(jiān)視其性能。通過這種方式,開發(fā)人員可以看到如果API遇到非常大量的數(shù)據(jù)會發(fā)生什么。
作為測試的一部分,用戶可以配置向開發(fā)中的API發(fā)送什么樣的流量,或者ReadyAPI可以從企業(yè)的網(wǎng)絡(luò)捕獲真實的流量,然后將其用于非常實際的測試。ReadyAPI支持Git、Docker、Jenkins、AzureDevOps、TeamCity等。
(9)WallarmEnd-to-EndAPISecurity
雖然WallarmEnd-to-EndAPISecurity平臺被設(shè)計為在許多API駐留的云原生環(huán)境中工作,但它也可以用于保護內(nèi)部設(shè)備中存在的API。它旨在防止針對API的任何類型的威脅,從開放Web應(yīng)用程序安全項目(OWASP)頂級漏洞列表中的威脅,到經(jīng)常針對API的憑據(jù)填充等的特定威脅。
Wallarm還可以幫助減輕由機器人進行的分布式拒絕服務(wù)(DDoS)攻擊和偵察入侵或直接攻擊。考慮到當今互聯(lián)網(wǎng)上的大部分流量都是由機器人組成的,這是一個很好的安全功能。
該平臺還提供了基于用戶流量的企業(yè)的整個API組合的深入觀察和概述,這不僅可以提供對安全性的洞察,還可以提供企業(yè)如何使用API以及哪些領(lǐng)域可能需要改進的建議。這并不是Wallarm平臺的主要目的,但作為使用該平臺的額外獎勵,這些詳細的報告肯定會在安全之外的其他領(lǐng)域有所幫助。
