首頁 > 關于我們 > 安恒動態(tài) > 2023 > 正文

使用零信任理念來緩解OWASP API安全性威脅

閱讀量：次 文章來源：安恒信息

API形式與安全趨勢

伴隨著全球數(shù)字經(jīng)濟的浪潮，API已然成為企業(yè)數(shù)字化轉(zhuǎn)型中連接萬物的”鑰匙”，可預見API數(shù)量將爆炸式增長。與此同時，API攻擊也越來越高頻出現(xiàn)，對任何一家企業(yè)來說又需關注一項新的安全工程。OWASP為強調(diào)API安全的重要性，在2019年首次提出了API Security Top 10。后隨著安全產(chǎn)業(yè)實踐加深，于2023年發(fā)布了API Security Top 10（候選版）的內(nèi)容更新。該更新內(nèi)容進一步強調(diào)了API攻擊場景與Web攻擊的差異化，突出API權限管理、資產(chǎn)管理、業(yè)務風控及供應鏈問題。

主要變化如下圖所示：

新舊版本對比分析

新增的風險

OWASP API Top 10 2023 新增了對敏感業(yè)務無限制訪問、服務器端請求偽造 (SSRF) 和 API 的不安全使用三類。

敏感業(yè)務訪問無限制（Unrestricted Access to Sensitive Business Flows）在 OWASP API 2023 年 10 強榜單中排名第 6，缺乏 API 完整的業(yè)務視圖往往會導致此問題的存在。

服務端請求偽造（SSRF）登上了最新的 OWASP Top 10 Web 應用程序漏洞榜單，今年也進入了 API Top 10 榜單。SSRF 在 2023 API 前 10 名榜單中排名第 7。SSRF 之所以能上榜，主要是由于這些年來SSRF 攻擊的顯著增加，在現(xiàn)代 IT 架構中，越來越多的容器化組件使用 API 通過可預測的路徑進行通信。開發(fā)人員還傾向于根據(jù)用戶輸入訪問外部資源，例如基于 URL 的文件獲取、自定義單點登錄 (SSO)、URL 預覽等。雖然這些功能增強了應用程序的功能，同樣也使利用 SSRF 漏洞變得更加常見。

API 的不安全使用（Unsafe Consumption of APIs）是2023 年榜單中的第三個新成員，排名第 10。與用戶輸入相比，開發(fā)人員更傾向于信任從第三方 API 接收的數(shù)據(jù)，而當依賴的第三方的API存在風險時將被攻擊者利用。

更新的風險

用戶身份認證失?。˙roken User Authentication ）修改為身份認證失敗（Broken Authentication），并且在 OWASP 2023 年 API 前十名列表中仍保持第二名的位置。

損壞的對象屬性級別授權（ Broken Object Property Level Authorization），在最新列表中排名第 3，結(jié)合了數(shù)據(jù)過度暴露 (API03:2019)和批量分配 (API06:2019)。這兩個漏洞都強調(diào)需要正確保護 API參數(shù) ，以防止威脅參與者未經(jīng)授權的訪問和利用。

資源訪問無限制（Lack of Resources and Rate Limiting ）已重命名為資源消耗無限制（Unrestricted Resource Consumption）。以前，重點只放在漏洞上，但現(xiàn)在資源消耗無限制還強調(diào)了沒有適當?shù)乃俾氏拗坪推渌Y源使用限制的后果。

刪除的風險

日志和監(jiān)控不足（Insufficient Logging and Monitoring and Injections）和注入（Injection）?已從 OWASP API Top 10 2023 列表中刪除。

零信任賦能API安全防護

以0代碼改造設計交付用戶輕量級的Agent，將API業(yè)務請求流量轉(zhuǎn)發(fā)至零信任API網(wǎng)關，通過流量中攜帶的身份令牌，確保每一次請求都是被鑒權的，確保調(diào)用是安全可靠的，且可實現(xiàn)調(diào)用中的數(shù)據(jù)動態(tài)脫敏。通過高性能/高可用架構設計，配合零信任各個核心服務組件/容器設計了異常狀態(tài)發(fā)現(xiàn)、主動巡檢等功能，通過Bypass、主備故障切換等業(yè)務設計，保障了業(yè)務延續(xù)性。

對于數(shù)據(jù)擁有方在開展API業(yè)務共享開放場景，在API業(yè)務互聯(lián)網(wǎng)暴露面治理、Oday/NDay漏洞攻擊、調(diào)用身份動態(tài)鑒權、數(shù)據(jù)分類分級管理、敏感數(shù)據(jù)識別、動態(tài)脫敏性能等多個安全技術細分領域都有非常好的技術創(chuàng)新和實戰(zhàn)化價值。

零信任API網(wǎng)關對于API安全風險帶來加強

身份認證失效

(Broken Authentication)

從對用戶本身的認證，將范圍擴展到“人機”身份保護范圍，為每一個主機調(diào)用設備提供一種加密的、可校驗唯一性的數(shù)字身份憑證；

對象屬性級別授權失效

(Broken Object Property Level Authorization)

通過檢查入?yún)?出參以及返回響應體，對于數(shù)據(jù)級的安全控制，保護數(shù)據(jù)泄露的風險；

資源消耗無限制

(Unrestricted Resource Consumption)

在所有傳入?yún)?shù)和有效載荷上定義并強制執(zhí)行數(shù)據(jù)的最大大小，對客戶端在定義的時間范圍內(nèi)與API交互的頻率進行限制（速率限制）。限制/限制單個API客戶端/用戶可以執(zhí)行單個操作的次數(shù)或頻率；

不受限訪問敏感業(yè)務

（?Unrestricted Access to Sensitive Business Flows）

檢測出入?yún)?shù)調(diào)用字段、有效識別敏感字段，提供動態(tài)脫敏、數(shù)據(jù)加密等多項能力保障敏感數(shù)據(jù)不帶走的安全目標；

服務端請求偽造

(Server Side Request Forgery)

對API調(diào)用的應用身份進行識別以及權限的核查管控，確保身份/權限合一，根據(jù)隨請求上報的風險及歷史行為識別可疑操作；

缺少對自動化威脅的防護

(Lack Of Protection From Automated Threats)

提供 DDoS攻擊、重放攻擊、SQL注入攻擊、爬蟲拖庫攻擊等通用常規(guī)攻擊防御能力；

存量資產(chǎn)管理不當

(Improper Assets Management)

根據(jù)應用令牌指紋、時間、頻率、行為等維度的策略限制合法用戶的附加訪問條件，可自動檢測僵尸資產(chǎn)或者長期靜默資產(chǎn)提供主動預警，并且通過零信任獨有的SPA技術，來實現(xiàn)資產(chǎn)TCP連接的默認拒絕（只授權合法主機的業(yè)務請求設備）；

關閉

數(shù)據(jù)安全

AI智能體專區(qū)

AI智能體專區(qū)

告警研判和降噪智能體

安全運營咨詢服務智能體

惡意郵件研判智能體

數(shù)據(jù)分類分級智能體

API安全智能體

自動化滲透測試智能體

終端數(shù)據(jù)防泄漏智能體

惡意軟件檢測智能體

數(shù)據(jù)安全咨詢服務智能體

核心安全產(chǎn)品

場景解決方案

Saas產(chǎn)品訂閱專區(qū)

熱門產(chǎn)品推薦

安恒數(shù)盾數(shù)據(jù)安全管控平臺最熱

數(shù)據(jù)庫審計與風險控制系統(tǒng)推薦

明御防火墻最熱

AI時代網(wǎng)絡安全產(chǎn)業(yè)人才發(fā)展報告

AI安服數(shù)字員工

AI安服數(shù)字員工

AI滲透測試

AI應急響應

AI安全咨詢

AI代碼審計

AI數(shù)字安全教師

AI+安全服務

AI+ 安全服務

一切產(chǎn)品皆資源，一切資源皆服務

行業(yè)解決方案>

技術解決方案>

安全意識教育解決方案>

使用零信任理念來緩解OWASP API安全性威脅

相關推薦

告警研判和
降噪智能體

安全運營咨詢
服務智能體

惡意郵件研判
智能體

數(shù)據(jù)分類
分級智能體

API安全
智能體

自動化滲透
測試智能體

終端數(shù)據(jù)防
泄漏智能體

惡意軟件檢
測智能體

數(shù)據(jù)安全咨詢
服務智能體

AI數(shù)字
安全教師

一切產(chǎn)品皆資源，一切資源皆服務