文/MetaAge 邁達特 雲端技術顧問 Bill Lee
API 全名 Application programming interface,在當今數位化的商業環境中,應用程序編程介面 (API) 扮演著舉足輕重的角色。舉例來說,我們從手機訂外送,基本上就是透過手機的APP以API方式下訂單到後台,後台再以 API 推送到店家跟外送員的 APP上接受訂單。
API 使不同的系統、應用程序和設備能夠無縫地交換數據,為企業提供了強大的整合能力和創新機會。然而,隨著 API 的日益普及,也帶來了新的安全風險和威脅,任何 API 漏洞都可能導致災難性的後果,例如:敏感數據外洩、服務中斷,甚至是整個業務癱瘓。
在 API 風險上,多半會參考 OWASP TOP 10 的指標(OWASP Top 10 API Security Risks),以利盤點對應風險,2023 Top 10 如下:
OWASP TOP 10
|
API 1 對象級授權失效
|
API 2 使用者身份認證失效
|
API 3 對象屬性級授權失效
|
API 4 資源消耗不受限制
|
API 5 功能級授權失效
|
API 6 敏感業務無限制訪問
|
API 7 服務端請求偽造
|
API 8 安全性設定錯誤
|
API 9 庫存管理不當
|
API 10 API 不安全使用
|
若您對於 API 有些許了解,應該可發現除了 API 4、7、9 是有辦法用 API Gateway 或是 WAF 這類型的解決方案,進行防禦或限速外,其他的內容則多半都是牽涉到 API 本身的行為或是授權不當帶來的風險。
而在行為模式的異常往往是最難判斷的,此類異常通常來自於合法用戶進行非法行為。例如駭客使用 APP 竄改參數後訪問取得數據,或是 B2B Partner 白名單 IP 有大量存取的情況。
此類型行為異常是相當難以被發現的,要能夠偵測此類問題,就會需要針對 API 行為 Log 進行記錄與分析,才能發現不同於正常流量的異常訪問。
而對於 API 行為的安全防護,建議採取以下方式:
盤點企業的所有 API,包含影子 API (未記錄的 API) 和殭屍 API (應停用但未停的 API),並根據敏感資料類型進行風險評級,識別出高風險 API。提供端點列表、API 流量統計等洞見,讓企業全面掌控 API 資產。
利用人工智能驅動的機器學習算法,準確檢測出各種 API 濫用行為,如異常的數據爬取、參數模糊測試、違規數據存取等,並以高可信度警報形式通知企業。所有 API 活動都會記錄在完整的時間線上,方便事後調查。
一旦檢測到 API 威脅,允許企業根據情況設定自動化應對策略,如阻攔來自特定 IP 請求、將請求重新路由至適當的 API 端點、將警報推送至 SIEM/SOAR 或發送通知等。這些策略可與企業現有的 API Gateway、WAF、CI/CD Pipeline 等技術無縫整合。
對於 API 的安全議題,已經從如何防止不合法來源的存取,進化到如何確保合法的使用合法性。傳統部署在系統前端的防護已不足夠,用戶通常需要一款更全面且即時的防護解決方案。
Akamai API Security 是一個新興的雲端解決方案,專為保護現代企業的應用程式介面 (API) 而設計。它透過行為分析引擎,以API 的使用模式為基礎,檢測並防禦各種已知和未知的 API 威脅。
除了強大的威脅防護能力,Akamai API Security 還提供了極佳的部署彈性。如果您已經在使用 Akamai 的 AAP (Cloud WAF) 服務,Akamai API Security 可以無縫整合,直接從 AAP 服務收集並分析 API 的日誌資料。無需另外部署,一鍵即可啟用 API 安全防護。
此外,針對企業內部環境,Akamai API Security 同樣提供了安全可靠的日誌收集機制。不論您的 API 部署在公有雲、私有雲還是內部數據中心,Akamai 都能夠有效實施並監控 API 流量,讓您從單一管理平台和統一視角,觀察公司整體 API 面臨的所有風險。
Akamai API Security 還提供自動化的威脅獵捕 (Threat Hunting) 和分析功能,確保不會錯過任何隱藏在 API 流量背後的高級攻擊跡象。同時,Akamai 完全去識別化的數據處理機制,更有效維護了敏感數據的隱私安全。
Akamai 作為領先的網路安全供應商,是蟬聯多年 Gartner 魔力象限的全球資安領導品牌,Akamai API Security 方案結合了領先的威脅情資、創新的攻擊檢測技術,以及靈活的部署選項,為企業提供全方位的 API 安全防護,並幫助企業掌控整體 API 風險,確保您的企業在數位轉型之路上,營運持續性和數據安全皆安全無虞。
IT 智能化最佳夥伴- MetaAge 邁達特是 Akamai 台灣代理商,更是首獲 Akamai GcSP 證照的大中華區夥伴,致力為企業建構從第 0 秒就開始、100% SLA 的資安防護。MetaAge 邁達特可提供 7×24 全年無休 MSP 服務,快速應對客戶需求,確保企業服務及營運連續性。您有 API Security 或其他資訊需求嗎?歡迎由此進行免費諮詢,將有專人立即與您聯繫!
延伸閱讀: