产品动态 > 正文

你的数据库里,可能藏着另一双眼睛

2022-04-12

夜深人静,当你独自一人熟睡时,一个陌生人悄悄地从床底爬出,用药物将你迷晕,然后肆无忌惮地用你的毛巾洗澡、用你的牙刷刷牙、与你共枕而眠,最后抹掉所有痕迹,再不慌不忙地离开……

假如这样的事情日复一日地发生,而你竟浑然不觉……有没有感到毛骨悚然?

安全报告丨2017下半年Web应用攻击激增6倍

以上这段情节出自西班牙经典悬疑电影——《当你熟睡》(曾被中、韩翻拍成电影《门锁》)。影片中,女主人公所住的公寓就这样被一个变态男子长期偷偷潜入,藏在床底伺机而动,来去自如。而这个变态,正是拥有公寓所有住户的钥匙,却不容易被人注意到的——公寓管理员。

很多人评论说看完这部电影,马上后怕地掀开床底确认是否安全。其实,与影片中“床底有人”类似的安全危机,不仅能发生在家里,也可能发生在企业和组织的业务系统和数据库中。

01 不被注意的危险通道

影片中公寓管理员拥有每家每户的钥匙,意味着房客向管理员开放了房门。而许多业务系统和数据库也同样拥有对外开放的连接入口——API。

在数字化、微服务浪潮下,API接口作为连接服务和传输数据的重要通道,应用已经十分广泛。无论是电商网站展示实时价格、库存、物流信息,还是健康码APP显示健康码状态、疫苗接种次数、核酸检测结果,都是通过API接口调取数据实现的。

开放式的API在为互联网服务的发展和企业数字化转型提供便利的同时,也已然成为高价值的攻击对象。根据网宿安全实验室的数据,2021全年网宿安全平台监测并拦截到的针对API业务的攻击数量,已超过2020全年攻击量的3倍。

安全报告丨2017下半年Web应用攻击激增6倍

拥有钥匙的管理员可以轻而易举地在女子的房间里为所欲为,掌握她所有的隐私信息,同样,API的开放性也使得黑客可以轻易地利用它窃取敏感数据。

Gartner曾做出预测:到2022年API滥用将成为导致企业Web应用程序数据泄露的最常见攻击媒介;到2024年,API安全问题引起的数据泄露风险还将翻倍。

除了窃取数据外,黑客通过API还能够进行数据篡改、通过非授权滥刷侵占接口资源,甚至打瘫接口使业务中断等等。

开放与风险可谓是一体两面。然而,就像女房客直到生活出现种种异常,四处探查才最终发现自己忽略了将房门开放给管理员带来的危险性一样,被攻击的企业或机构,也普遍反馈并不知道自身存在不安全的API,直到安全事故发生才后知后觉。

安全报告丨2017下半年Web应用攻击激增6倍

02 防了,但没防住

随着API安全事件(Twitter、Facebook、Instagram等巨头均中过招)的频发,已经有越来越多的企业和组织提升了对API安全管理的重视。尽管如此,新的数据报告显示,仍然有40%的受访者担心他们公司API程序的安全性,甚至有62%的组织由于API安全问题放慢了新应用程序的推出速度。

如何实现有效的API安全管理,还是一道富有挑战性的难题。

挑战1:API资产清点难、管理漏洞大

一个系统中可能有多达上千个API,并且在新业务的快速开发和频繁的版本迭代下,人工维护的API清单往往会有大量遗漏。这些“失联”的影子API、僵尸API中可能存在未修复的漏洞,被攻击者作为跳板利用。API资产上的管理漏洞已经被OWASP组织列入API安全风险TOP 10之中。

安全报告丨2017下半年Web应用攻击激增6倍
OWASP发布的API安全风险TOP 10

挑战2:传统防护策略容易造成漏判和误判

不同于一般的Web应用攻击,很多API攻击不带恶意代码,而是利用API自身配置的漏洞达到目的(比如通过修改参数值来遍历用户数据、发送过大的请求数据或构造极其复杂的数据结构恶意消耗服务器性能等)。这就能够绕过传统防护策略,使得防护效果并不理想。

挑战3:高并发下支撑业务稳定能力不足

除了恶意攻击之外,随着API的应用越来越广,API接口需要承载核心业务并发流量的情况也越来越多。例如疫情高峰期时不时出现的健康码崩溃问题,就与相关API接口对大并发流量的支撑能力不足有关。这也对API的性能和抗大流量攻击的能力提出了更高要求。

03 管理-保护-分析 形成API安全管理闭环

那么,面对风险,企业和组织有什么比较省心省力的方式有效保障API的数据和业务安全呢?

解决掌握不清API资产现状的问题,需要进行彻底的资产发现和清点,将每个接口从创建、上线到下线的全生命周期都纳入管控,并持续监管其隐私/开放状态,才能避免被黑客利用。

解决传统识别方式的不足,则需要更深度的API保护,基于API特征制定更有针对性的策略。

而网宿依托于分布式边缘防护体系,针对API自身特性,所推出的API安全与管理产品,就是一款能够提供API全生命周期托管及持续安全检测,形成管理-保护-分析服务闭环,保障企业API资产的高可见性、可用性与安全性的利器。

安全报告丨2017下半年Web应用攻击激增6倍

在管理方面,网宿能够基于流量数据,自动进行API路径规范化与聚合,提炼路径参数,经过离线分析得出API资产清单,帮助企业主动发现“失联”API资产;同时对API资产进行定义,对每一个API接口全生命周期的隐私状态、调用对象、授权范围、调用额度进行灵活管控,保障权限最小化,防止非授权和超额调用。

在防护方面,网宿能够在抗D/云WAF/Bot防护的基础上,通过身份鉴权、多重合规性检测、请求方法限制、访问控制等技术,进一步识别、拦截请求流量中的恶意参数及可疑用户,主动处置高风险事件,确保API调用的方法可信、身份可信、数据可信,且无需对现网API进行改造。

在分析方面,网宿提供可视化分析报表,实时洞悉API资产分布、调用趋势、风险事件趋势,并结合监控告警、日志服务等,辅助安全运维进行API管控及安全决策。

安全报告丨2017下半年Web应用攻击激增6倍

目前,网宿API安全与管理产品已稳定服务于电商、金融、商旅、政务、医疗等领域用户,日均为单客户检测并拦截恶意接口调用60万+,赋能企业价值链全面数字化

本文内容的版权持有者为网宿科技股份有限公司(“网宿科技”),未经许可,不得转载。