close

香港金融管理局(金管局)本年7月宣佈推出開放應用程式介面(Application Programming Interface,API),方便公眾使用、推動香港邁向智慧銀行新紀元,並確保銀行業保持競爭力。金管局推出新措施的同時,我們也應留意 API 帶來的潛在網絡安全威脅。

應用程式介面(API)是一套軟件設計方法,讓軟件與系統開發者可以根據已定義的通訊方法整合其他系統。API 可擔演軟件模組的角色,讓軟件得以重用 ─— 換言之,,在現有功能上加快新系統開發。短短數年間,API 開始在所有主要網站和互聯網為本的公司出現。Facebook、Twitter、Google 和 Amazon 的Cloud Computing 這類知名公司,便是在 API 的幫助下令業務模式蓬勃發展。

Akamai 智能平台眼中的 API

為加深對互聯網採納與使用API的認識,我們決定採用旗下的雲保安情報(Cloud  Security Intelligence,CSI)數據分析引擎,在一天內觀察了 1,447億個 HTTP 交易,當中有 366億 個為 API 交易,即所有抵達源網絡應用的網上交易的四份之一。我們這次研究使用了較保守的偵測方法來辨識 API,所以推測數字可能高於25%。

細心觀察這些 API 交易,會發現 38% 的 API 召用均由流動客戶端發出。比較早前的數據(顯示65% 的 API 流量來自流動客戶端),數字印證了我們對流動應用程式是 API 發展與使用最大推動因素的假設。

▲ 38% API 召用均由流動客戶端發出,印證了流動應用程式是 API 發展與使用的最大推動因素。

▲ API 的行業分佈 顯示高科技公司在所有 API 召用中排名榜首,緊接其後的是其他數碼媒體,其餘為電玩與零售。

API 不但簡單和開放,而且功能強大。傳統網絡應用程式不會就此消失,然而 API 將繼續發展。因此,我們應更深入認識 API 的威脅,例如憑證濫用攻擊。

我們的研究團隊在調查憑證濫用攻擊時,就網絡登入進行了分析,以更透切瞭解 API 為本的登入採納有多遠多廣,以及這個趨勢有沒有同時影響入侵者和入侵行動。因為各種原因,API 為本的登入被憑證濫用攻擊者虎視眈眈,對此我們並不感到意外。企業應注意以下重點:

  • 所有 API 認證嘗試中,有 3 成屬欺詐性質。
  • 針對 API 認證終端節點的憑證濫用行動所處理的用戶憑證,是一般表格為本的認證應用程式的 4 倍。
  • 採用機械人網絡客戶端,針對 API 認證終端節點發動的憑證濫用行動,或會增加 4.75%。

憑證濫用背景

在應用程式把標準網絡請求遷至 API 召用而言,登入是其中一個最顯眼的地方,幾乎所有網絡和流動應用程式都要求用戶登入應用程試來保持使用者狀態。過去,登入請求只是標準的 HTTP POST 請求,由用戶在 HTML 網頁表格按下「登入」按鍵後傳送。隨著 AJAX、JavaScript 框架(例如 jQuery 與 Angular)使用度與日俱增,流動應用程式框架已把登入請求轉化為 API 召用。

在我們分析的所有登入中,竟有 3 成被標籤為經大型憑證濫用行動提交的欺詐登入。即每 3 次登入嘗試中,便有近 1 次為欺詐登入,數字令人震驚。

說到大型(每天數以百萬計的獨特入侵)憑證濫用入侵行動,數據顯示88% 的入侵在行動期間,總有某些時候針對 API 召用。相反,只有 22% 的入侵者攻擊標準網絡表格認證。當然,一些入侵者同時針對兩種認證,視乎他們當時正入侵的應用程式而定。

以 API 為本的憑證濫用攻擊和那些針對網絡表格攻擊的最明顯分別,為每次行動對每個應用程式的賬戶嘗試平均數字。標準網絡表格在每次行動中被嘗試濫用 1,000,000次,而 API 應用程式登入的被濫用數字則高出 3 倍,高達每個應用程式近 4,000,000 次嘗試。

對於憑證濫用攻擊者來說,認證API是一個成熟的目標。有意在整個API組合中防禦這些攻擊的機構 ,應確保自己無論選用哪種方案,都可適當處理下列各項:

  1. 有能力分析與瞭解網絡與流動 API 召用訊息,並盡可能以最精細化的方式採取適當保護和偵測技巧,包括 XML 為本的訊息、JSON 訊息以及 RESTful 服務。
  2. 有能力分辨自動與惡意入侵,例如那些由機械人程式在 API 環境中發動的襲擊,這些攻擊不一定採用的是網絡瀏覽器(例如原生流動應用程式、遊戲主機和其他物聯網裝置)。
  3. 在 API 保安事件中提供適當的紀錄與可視度。應以巨細靡遺地呈現資料,並就個別 API 終端節點與方法提供洞察識見。
  4. 提供簡潔的 API 保安管理方案,讓機構可以指派不同的保安政策給不同的 API 終端節點,採取精細化的應用層保障和服務限流,並顯示所有外部使用者可以看到的 API。
  5. 提供客戶聲譽與情報的反饋,包括可以看到刻意在 API 召用中進行憑證濫用行動的惡意發動者,例如那些以流動、網絡與物聯網應用程式所使用的。在上一重保障只有部份覆蓋的情況下,這種反饋可以擔當安全網或最後防線。

作者:Akamai 首席保安研究員 Ryan Barnett 與高級保安研究員 Elad Shuster 合撰

Columnist

The authorColumnist

Unwire.pro 將定期邀請業界人士、名筆,撰寫有關 IT 行業趨勢的精闢分析文章。歡迎投稿。