CDN加速

报告解读 > 正文

网宿互联网安全报告之API攻击篇:攻击者可能通过APP位置权限窃取你的隐私!

2020-11-25

近日,网宿科技正式发布《2020上半年中国互联网安全报告》,《报告》显示上半年网络攻击呈倍数激增,网络安全形势愈加严峻。借此,我们推出了系列报告解读,以帮助行业客户了解网络安全趋势及应对策略。

数字化时代,API的应用已经十分广泛,比如天气预报、地图等都是通过 API获取当前位置实现查询,除此之外,还有征信机构通过第三方API数据接口获取消费、出行、社交、房产等征信数据等等。

API应用程序接口(Application Program Interface)是一组定义、程序及协议的集合,通过 API 接口实现计算机软件之间的相互通信。API的一个主要功能是提供通用功能集。API 同时也是一种中间件,为各种不同平台提供数据共享。

开放式的API虽然为各类互联网产品的发展提供了便利,可同时也给攻击者带来可乘之机,攻击者可能在你使用手机APP的时候通过非法控制和使用API接口窃取你的隐私信息。

事实上,当前攻击者已将API列为首选的入侵目标之一,由此导致的大规模用户数据泄露时有发生——新浪微博因用户查询接口被恶意调用从而导致5.38亿微博用户数据泄露,Facebook因API安全漏洞从而导致2.67亿个用户的隐私数据被非法售卖……

2019年网宿云安全平台共监测并拦截了30.33亿次针对API业务的攻击,而2020上半年,据网宿科技《2020上半年中国互联网安全报告》显示,这一攻击数量已经达到21.20亿次,相当于去年全年的70%。

可以看出,针对API业务的攻击正持续增长。

网宿科技入选2021信息安全企业排行百强

我们来看《报告》详细解读。

2020上半年,网宿云安全平台共监测并拦截21.20亿次针对API业务的攻击,同比增长28.23%。▼

网宿科技入选2021信息安全企业排行百强

在攻击手法上,恶意爬虫攻击仍然高居统治地位,占到整体API攻击数量的74.82%。其次是SQL注入(10.94%)和非法请求(5.97%)。其中,SQL注入较去年同期(1.55%)增长显著。▼

网宿科技入选2021信息安全企业排行百强

恶意爬虫能对企业开放的各类不受保护、有信息价值的 API接口进行不断攻击,以达到破坏、牟利、盗取信息等目的。

网宿云安全团队建议,对接口进行鉴权、速率限制、配置白名单等方式能够有效缓解恶意爬虫攻击,降低敏感信息泄露的风险。

《报告》对受攻击行业分布情况进行分析发现,政府机构首当其冲,承受的API攻击占比达到了60.94%,同比增长约14个百分点;电子商务跃居到了第二位,占比为26.44%。▼

网宿科技入选2021信息安全企业排行百强

电商诞生之初便运行在互联网上,其API的设计已经考虑到安全问题,在开发设计上已将鉴权、数据安全传输、漏洞测试等工作纳入考量,但由于行业数据价值较高,依然是攻击者的重点目标。

而政府机构更多的是由传统行业转向互联网+,向云上业务转型,许多API由内网转向外网,在设计上较少考虑安全问题,存在大量的未鉴权接口,失去了网络屏障之后,被大量的恶意探测与爬取,造成大量的敏感信息泄露。同时未经安全测试的API接口也存在大量的安全漏洞,传统的Web攻击方式,如SQL注入、XSS等问题甚至比传统网站更为严重。

对此,网宿云安全团队建议,在API的设计上,至少考虑鉴权、URL过滤、加密传输、速率限制、敏感信息匿名化等安全问题,降低API的安全风险。

总体而言,2020上半年,各类网络攻击呈倍数激增,网络安全形势更加严峻。值得注意的是,《报告》最后对安全趋势进行了展望,其中指出——

从主机安全到网络安全,再到云安全,安全的防护边界在不断扩张,用原有安全设备和策略去应对新的安全环境难以跟上发展的脚步。5G网络、边缘计算、物联网的发展更是加速了传统安全边界被打破的速度,软件定义安全、零信任网络将是未来网络安全发展的重要趋势。

零信任的核心思想是在默认情况下不信任网络内部和外部的任何人、设备和系统,通过对以上都进行识别、访问控制、跟踪,实现全面的身份化,创建了一种以身份为中心的全新边界。

而2019年底,Gartner又提出了维度更高的SASE模型(Security Access Service Edge,安全访问服务边缘),其理念是通过将SD-WAN和零信任、安全Web网关等安全能力和边缘计算集合成云交付网络,保障在任何时间、任何地点、任何终端和边缘都能进行安全的连接和访问。

目前,网宿凭借零信任企业安全接入产品(ESA),已在SASE领域有所布局。

网宿ESA基于零信任访问架构,集成了网宿在云安全和企业应用加速方面的领先技术能力,能够针对远程、移动办公等日趋多样化的办公场景,为用户打造更安全、高效的办公体验。了解更多