在过去,勒索软件是 DevOps 团队常常担心的主要安全威胁。尽管现在勒索软件攻击仍在发生,但随着企业安全防护能力与意识增强,勒索软件造成的安全威胁已不如从前。然而,根据 Gartner 调查显示,API 安全漏洞在2021年增量高达 600%,逐渐成为恶意攻击者发起攻击的主要媒介。 DevOps 强化 API 安全性迫在眉睫。
本文将概述当今 API 安全状态,并在扩展 DevOps 现有勒索软件防御技术以保护 API 方面提供一些思路和技巧。
API 的优势
API 主要用于特定类型的应用程序、B2B 或基础设施集成。当转向微服务和分布式架构时,内部 API 就成为将应用程序环节结合在一起并在应用程序的组件和微组件之间传递信息(有时是敏感信息)的粘合剂。现在,发布公共 API 已经成为所有软件产品企业的基本操作,据统计目前公共 API 大约有 22000 个。
随着公共 API 的数量增加,其相关联的应用程序和服务受到攻击的风险也随之增加。越来越多的恶意攻击者开始专注于利用 API 来获取敏感信息的访问权。
从勒索软件保护到 API 保护
大部分人可能过认为保护 API 需要全新的安全工具与实践。但实际上,缓解勒索软件风险和减轻 API 安全风险之间存在着相似之处。DevOps 团队可以通过拓展现有的勒索软件防御技术来保护 API 安全,以下是供 DevOps 团队参考的一些策略和方法。
阻止横向移动
与勒索软件一样,恶意攻击者通过利用缺陷和漏洞横向从端点传播到端点,API 漏洞利用通常也横向传播到整个环境中。
这就意味着,虽然无法阻止所有 API (或勒索软件)攻击侵入边界,但 DevOps 团队可以采取措施阻止漏洞继续扩大。通过尽早检测环境中的恶意活动,DevOps 团队可以阻止威胁的横向传播,避免大规模入侵。
关注数据安全
勒索软件攻击和 API 攻击都专注于敏感数据。勒索软件攻击者通过破坏数据威胁来勒索赎金。而 API 攻击者通过泄漏数据(或兜售数据),例如,恶意攻击者从受感染的 Peloton 账户上窃取敏信息,以及破坏 LinkedIn 的API 来窃取约7亿用户的数据,从而给企业声誉造成严重负面影响。
因此,降低勒索软件风险和 API 安全风险可以落在保护数据安全上。 通过对内部和公共 API 的功能实施强大的访问控制和分段,可以降低由于 API 安全漏洞导致的数据泄露风险。
使用行为安全模型
当面临 zero-day 攻击和未知攻击时,基于签名的安全控制对勒索软件和 API 攻击都不起作用。尽管企业已经竭尽全力去强化安全环境,但还是无法避免漏洞绕过防御的情况发生。
因此部署基于行为的安全模型时防范勒索软件和 API 攻击的关键。行为安全模型能够检测环境中的异常活动,例如异常类型的请求或异常的请求模式。通过对行为进行建模和基线化,
这就是为什么部署基于行为的安全模型是防范勒索软件和 API 攻击的关键。行为安全模型检测环境中的异常活动,例如异常类型的请求或奇怪的请求模式。通过对行为进行建模和基线化,并根据您的模型检测异常,您可以防止攻击一旦开始就蔓延开来。
不要依赖基于外围的防御
企业需要明白的是,保护系统环境外围并不是针对勒索软件或 API 攻击的万无一失的防御措施。相反,需要在所有端点、应用程序、服务等之间分配保护。
如之前所说,我们无法百分之百保证攻击者无法进入企业的系统。防御成功很大程度上取决于企业是否有能力让恶意攻击者难以将他们的攻击从小规模突破升级为影响广泛的攻击。
同样,没有什么可以保证攻击者不会进入。你的防御成功很大程度上取决于你是否有能力让他们难以将他们的攻击从小规模突破升级为影响广泛的攻击的资源。
关注表面以外的防护
勒索软件和 API 攻击的相似之处在于,这两者通常都涉及旨在逃避常见安全监控工具的攻击方法。
比如,攻击者可能会尝试利用端口 80 或 443(默认 HTTP/HTTPS 端口),这些端口几乎总在防火墙上打开着。因此,DevOps 团队必须避免仅依赖标准端口或加密来保护 API 流量的方式。相反,必须要对有效负载深入研究,然后解析和理解协议。监控和收集来自多个来源的数据,然后对其进行关联和分析,以更深入地了解环境中实际发生的情况。
结 论
勒索软件攻击和 API 安全攻击在某些方面有着根本的不同,它们涉及对不同协议的利用,且攻击者的目标通常有所不同。但就攻击者的操作方式、他们想要窃取的内容(比如敏感信息和数据)以及基于边界的防御、勒索软件攻击和 API 攻击的限制而言,这两者非常相似。
因此开发人员和 DevOps 团队无需重新考虑他们的整个安全策略来应对 API 攻击激增。相反,通过现有的勒索软件防御技术,DevOps 团队可以在此基础上进行拓展,以保护 API 安全。
参考链接: