技術專欄
文/MetaAge 邁達特 雲端技術顧問 Bill Lee
數位化浪潮方興未艾,使應用程式介面( API;Application Programming Interface )成為現代軟體架構的核心之一。無論是從手機 APP 到 IoT 物聯網設備,或是從雲端服務到企業系統整合,API 可說是無處不在。目前,幾乎每個開發現代應用程式的企業與團隊,無不使用 API 來支援這些應用程式進行跨服務整合。然而,隨著 API 的普及,對攻擊者來說,API 也成了最有吸引力的攻擊目標。
2024 年 5 月 Gartner® API 防護市場指南的數據顯示,平均來看,由 API 漏洞所導致的資料外洩數量,是其他類型安全漏洞的 10 倍。根據資安領導品牌 Akamai 的數據顯示,2024 年全球 API 攻擊年增高達 109%,有 84% 的受訪資安人員表示在過去一年中經歷過 API 安全事件,然而,其中卻只有 27% 的受訪者知道哪些 API 傳回了攻擊者所尋求的機敏數據,足以顯示 API 的安全性成了日益嚴峻的挑戰。
更具挑戰的是,您無法保護您看不到的東西。許多企業與組織甚至不清楚自身實際上擁有多少 API,因此難以量化其所面對的風險。API 安全防護解決方案領導品牌 Noname Security( 現已納入 Akamai API Security 解決方案 )就曾調查發現,其 API 安全平台客戶在自身環境中發現的 API 數量,竟然比他們預期的平均多出 40%。
➤ 延伸閱讀|保護 API 必讀!剖析 API 常見漏洞,捍衛您的數據門戶,創造 API 安全最佳實踐
綜觀來看,API 安全事件之所以層出不窮,首要原因除了下文中將提及的 OWASP 十大 API 安全風險漏洞之外,更關鍵的是,許多企業與組織使用的 API 防護工具,目前未能有效偵測、發現這些風險問題。而開放網路應用程式安全計畫(OWASP)作為非營利組織,經年致力於提高軟體安全意識,由 OWASP 所發布的「安全風險排行榜」已成為當今業界的重要參考。2023 年,OWASP 更新了截至目前最新版的 API 安全 Top 10,充分反映當前全球 API 安全領域的最新趨勢和挑戰。本文接下來將帶您了解這十大 API 安全風險,協助您更好地保護您的 API 和相關應用程式。
OWASP 十大 API 安全風險盤點項目如下:
1. Broken Object Level Authorization (不安全的物件授權)
➝ 未正確配置物件層級的授權,可能導致未授權的資料存取、修改或刪除。
2. Broken Authentication (無效的身份認證)
➝ 認證機制設計或實現不當,使攻擊者可竄改或利用權杖,冒用用戶身份。
3. Broken Object Property Level Authorization (物件屬性級別授權失效)
➝ 缺乏對物件屬性層級的授權控制,導致資料暴露或未授權修改。
4. Unrestricted Resource Consumption (不受限的資源消耗)
➝ 未限制 API 的資源使用,使攻擊者過度消耗資源,導致拒絕服務。
5. Broken Function Level Authorization (無效的功能權限控管)
➝ 不當的功能級別授權,允許攻擊者存取敏感功能或其他用戶資源。
6. Unrestricted Access to Sensitive Business Flows (不受限地存取敏感商務流程)
➝ 敏感商務流程未受保護,易被濫用,尤其是涉及交易、票務等功能。
7. Server Side Request Forgery (SSRF) (伺服器端請求偽造)
➝ API 未驗證由使用者提供的 URL,可能被攻擊者操控,訪問內部資源。
8. Security Misconfiguration (安全配置錯誤)
➝ 配置錯誤或未遵循安全最佳實踐,給予攻擊者進一步滲透的機會。
9. Improper Inventory Management (庫存管理不當)
➝ 對 API 的版本和端點缺乏管理,可能暴露廢棄或測試中的端點。
10. Unsafe Consumption of APIs (API 的不安全使用)
➝ 過於信任協力廠商 API,攻擊者利用這些服務破壞目標系統。
基於上述十項 API 風險,MetaAge 邁達特歸納出四個面向:
➝ 包括物件層級(Broken Object Level Authorization)、屬性層級(Broken Object Property Level Authorization)以及功能層級(Broken Function Level Authorization)的授權問題,導致未授權存取和資料外洩。
➝ 身份認證機制設計不佳,可能使攻擊者冒充用戶身份或竄改系統權杖(Broken Authentication)。
➝ 未限制資源使用(Unrestricted Resource Consumption)或未妥善管理庫存(Improper Inventory Management),可能導致服務中斷或增加營運成本。
➝ 包括安全配置錯誤(Security Misconfiguration)和敏感業務流程的不受限存取(Unrestricted Access to Sensitive Business Flows),給攻擊者提供滲透和濫用的機會。
在 API 的保護上,建議您必須採取「零信任」態度,以便在日常的 IT 營運中,找出由合法用戶從事的非法行為。Akamai 作為蟬聯 Gartner 魔力象限 6 年的資安領導品牌,Akamai API Security 解決方案可為您解決上述 OWASP API Security Top 10 中的攻擊類型,有效阻止這類對您組織的 API 攻擊,並免您因 API 弱點所造成的收益損失、資訊外洩、合規性違規和聲譽受損等。
Akamai API Security 能提高您 API 管理的可視性,提供即時檢測、主動防禦與結合 ML 的行為分析,並且提供超過 30 種資料來源搜集模式,可於單一平台查看內部與外部的 API,進行完整度極高的 API 盤點與監控。Akamai API Security 會先有效評估您實際上擁有多少 API 做起,不僅限於您已知且正積極使用的 API,亦包括您所不知或看不見的遺留 API 、影子 API 甚至是惡意 API。
Akamai 具備領先業界的資安解決方案、卓越的威脅情報和全球營運團隊,可為企業提供深度防禦,並有效保護您的資料和應用程式,讓您一站式取得 API 環境的可見性、威脅和異常的偵測和封鎖,以及 API 的主動測試。而 IT 智能化最佳夥伴-MetaAge 邁達特則是亞太區首獲 Akamai Guardicore 最高認證的 Akamai GcSP 白金級代理商,擁有技術量能豐沛的技術和 support 團隊。
邁達特經驗豐富的工程師、Presales 團隊,將是協助您全面進行 API 盤點、阻止濫用、弱點檢測的首選夥伴。若您有任何 API 防護整體解決方案的需求,歡迎您【由此填寫表單】,將有專人為您提供一對一免費諮詢。
參考資料:
• Akamai 2024 API Security Impact Study
• 84% of Security Professionals Experienced an API Security Incident in the Past Year
