API风险在网络安全攻防演练中不容忽视

网络安全建设效果检验,还要看攻防演练。网络安全实战攻防演练已成为检验关键信息基础设施系统网络安全保护能力的常态方式,因为双方在真实的网络环境中进行对抗,更贴近事实。

虽然许多单位和组织已经在各种攻击和防御演习,但随着组织数字过程的加速和业务的快速发展,总是有一些无法跟上变化的风险点。今天,我们将在实际的战斗中一起设置一个风险点,这些点很容易被忽视,并提供相应的保护策略。

知己:容易被忽视的攻防演练风险点。

从以往的实战案例来看,有几个关键点很容易被各组织单位在攻击面梳理中忽略:

1.API影子。

在资产梳理过程中,不可避免地会有一些资产出现在安全视线之外,比如一些由于缺乏安全防护,没有通过WAF或者API网关,可能是历史遗留的僵尸API,很容易被攻击。

2.逻辑漏洞。

传统的安全检测产品很难找到逻辑漏洞(安全缺陷),如未经授权的访问、越权访问、允许弱密码、不合理的错误提示、没有禁止目录浏览等。例如,攻击者使用未经授权的访问、越权访问漏洞、获得管理员账户密码等敏感数据,或直接执行高权限行动,然后获得系统控制。

3.敏感流量。

现有的WAF、API网关等产品更多的是检测站内流量,缺乏站外流量的检测。如果明文中的敏感数据暴露在站外流量中,攻击者可能会使用它们,例如在获得内部员工的电子邮件后发送捕鱼电子邮件。

4.高风险部件。

由于API提供业务,这些组件暴露在互联网上,并且经常成为攻击者的攻击目标,因此,背后的API组件可能存在安全隐患(例如,没有修复高危漏洞)。

大家都了解,API是支撑点线上应用连接和数据传输的关键,承载着企业的核心业务逻辑性和大量的敏感数据信息,在应用环境中十分广泛。数字时代的今日,各行各业都拥有大量的API来支撑点业务互动:

金融:提供大量API接口用于客户查询或办理业务,涉及手机号、银行卡号、身份信息等敏感数据。各类银行、证券APP、小程序、第三方业务开放平台等。

政府事务:公民卡、在线政府事务平台等互联网政府系统需要在互联网上开放API界面,方便民生业务的处理,涉及公民居留证、教育信息、身份证号码等个人隐私数据。

医学:随着疫情的逐步正常化,核酸检测已成为人们日常生活的一部分。通过API查询相关报告和疫情信息,大量的核酸报告查询应用程序和小项目以及与疫情有关的在线业务正在蓬勃发展。

运营商:各大运营商经常会做一些优惠券促销活动,出于业务需求,网上暴露了大量的优惠券API接口。

互联网:基于互联网行业不同的实际业务场景,向第三方合作伙伴、第三方用户等开放大量的业务API接口。

这些API是互联网黑客关注的焦点,承载着大量高价值数据。当然,它们也是攻击者眼中的热点。在2021的网络安全攻击和防御演习中,已经使用的漏洞中有许多API漏洞:

图片

因此,攻击者如何在网络安全攻防演习中攻击这些API?

知彼:攻击套路,攻击方常见

攻击方针对API的常见攻击手法基于过去的实战案例有以下几种:

1.对库攻击的暴力破解。

攻击者通过扫描管理背景登录页面,直接登录背景,或使用电子邮件、手机号码等信息攻击,直到进入企业内部网络获得更多权限,通过扫描管理背景登录页面,对登录界面进行冲击库或暴力破解。

2.扫描危险路径。

一些后端组件将一些不必要的API暴露在互联网上,因为默认的配置或错误的配置。一些API可以执行高权限操作或获取敏感数据,而攻击者可以通过路径扫描定位这些API的路径。

3.扫描漏洞。

随着业务的快速发展,API的迭代和发布周期也在加快。由于重业务、轻安全的概念,许多API在开发过程中存在漏洞。为了发现存在漏洞的API并发起攻击,攻击者通过漏洞扫描仪对网站进行了扫描。

对策:

构建安全管理体系,以API为中心。

在了解了攻击和防御演习中容易被忽视的API安全风险点和常见攻击程序后,各组织和单位需要从自身业务安全出发,制定相应的API安全管理策略,以免在攻击和防御演习中丢分:

图片

1、,对API进行全面盘点,找出哪些业务API、开源组件API等;

2、发现API安全漏洞,早修复,减少攻击面;

3、持续风险监控,检测漏洞扫描,账号撞库,API攻击行为,及时攻击阻拦。

为此,永安在线推出了针对网络安全攻防演练场景的API安全管理方案,帮助用户更有效地开展攻防演练准备工作,提高网络安全防御水平,基于全网威胁情报和攻击方攻击思路,结合大量API攻击的实际案例。

最佳实践:

新一代API安全管控平台,基于情报。

永安在线新一代API安全控制平台帮助各组织单位构建以API为中心、可预防、可解释、可追溯的安全管理体系,通过旁路镜像提供API资产动态梳理、API缺陷持续评估、API攻击持续评估等能力。

图片

1.动态梳理资产。

1)通过自动识别业务API调用关系,包括影子API和僵尸API,以及旧版本和重复功能的API,对API接口进行全面、连续的清点,以减少风险暴露。

图片

2)对敏感数据流进行持续监控,支持84种敏感数据识别,减少数据暴露。

3)在为企业提供行为追溯能力的同时,持续动态整理系统访问账户,多维度记录访问账户和操作行为,积极识别风险行为。

2.持续评估缺陷。

1)对API缺陷进行综合评估,支持7大类46项安全缺陷,对OWASPITop10安全问题进行全覆盖;

2)帮助企业提高缺陷修复效率,通过完整、清晰的缺陷样例和自动化验证过程。

图片

3.精准感知攻击。

1)建立API行为基础,及时发现API攻击、账号异常、IP攻击等风险。

从这个角度来看,我们呢!

2)系统支持IOC异常标志、联动WAF、风险控制等快速自动阻断的输出。

具有以下优势的永安在线新一代API安全管控平台:

从这个角度来看,我们呢!

© 版权声明
THE END
喜欢就支持以下吧
点赞9
分享
相关推荐
  • 暂无相关文章
  • 评论 抢沙发
    源码客的头像-源码客

    昵称

    取消
    昵称表情图片