什么是 API 异常访问行为?
在“万物皆可 API”的时代,通过 API 快速构建产品和服务、迅速响应客户需求已是数字化企业的必备技能。但同时,API 承载着越来越复杂的应用程序逻辑和大量敏感数据,也使得 API 成为黑产的重点攻击目标。
近年来,不少国际知名企业都因 API 安全疏忽而遭受了巨大的打击。不仅如此,据研究部门 Salt Labs 发布的《2022年第一季度 API 安全状况报告》显示,在过去12个月中,恶意 API 流量增加了681%,95%的组织都经历了 API 安全事件。然而,大多数组织并没有准备好应对这些挑战,超过三分之一(34%)的企业没有 API 安全策略。
在 API 访问中会传输大量的数据,数据的传输分为正常访问和数据窃取等方式,对于正常的数据访问,可以在数据分级分类的情况下,在 WAF 上实现对数据的脱敏和混淆等功能;对于数据窃取的情况下,需要识别异常的数据泄露,并阻断异常访问和连接。
API 的异常访问行为有哪些?
无明显特征的攻击行为。
针对业务的异常访问。
大量的数据传输。
异常的访问对象。
被攻击利用的过期 API 或者是僵尸 API。
过度暴露的数据。
API 异常访问行为挖掘最佳实践
发现 API 的异常访问行为、调查 API 的访问的异常行为,是在日常安全运营中发现并修补安全/运营漏洞的最佳手段。那么在 Web 应用防火墙控制台,可以通过 API 流量分析、BOT 流量分析等相关安全视图,进行快速的 API 异常访问行为的发现及挖掘,实现快速的安全运营闭环。 说明
API 流量分析功能当前处于公测中,支持 提交工单 或联系商务经理申请试用该功能,公测期间仅支持开启3个域名。 API 的异常访问行为发掘调查主要分为以下几个步骤:
1. 发现异常访问请求。
在 API 流量分析功能 中,发现异常的 API 概览信息,确认相关异常 API 日志,并对其进行跟踪。 2. 确认异常访问请求中的唯一 UUID,根据 UUID 确认事件爆炸范围。
开启访问日志后,每一条访问日志存在唯一的 uuid,可以根据唯一 uuid 进行相关用户、API 访问日志、BOT 行为信息的分析及跟踪。
3. 考虑用户典型行为背景下的异常。
在不同的业务场景下,不同用户的 API 访问行为并非一致,如在登录 API 的场景下,如果频繁访问登录接口则异常的可能性极大。
4. 以影响访问因素为指导,确认是否异常。
确认当前访问源是否为异常访问源、登录地是否异常、调用方是否非业务访问源用户。
5. 已返回报表内容信息为指导,确认是否异常。
确认访问的 body size 等参数是否远超异常。
确认返回内容是否超出预期。
6. 确认相关 API 及用户信息、进行安全闭环。
确认异常访问行为、用户信息、以及相关 API 信息,对其进行处置后,及时进行安全修复。