此篇文章发布距今已超过800天,您需要注意文章的内容或图片是否可用!
1988年10月31日,一位住在沪嘉高速公路附近的阿婆看见汽车飞驰而过,惊讶地揉了揉眼睛,汽车“哧溜”一下飞过去了。原来车可以在公路上开得这么快。
而这一天,正是中国大陆首条建成的高速公路——沪嘉高速公路正式通车的日子。
高速公路的通车,对经济发展的带动作用肉眼可见。1984年,嘉定县级财政收入仅为1.9亿元。到1989年,嘉定县级财政收入达到了4.28亿元,足足翻了两倍多。
在此后的数年间,沈大高速公路、京津唐高速公路陆续建成通车,中国的高速公路网在960万平方公里的土地上徐徐展开。
截至2021年底,我国高速公路总里程达到了16.91万公里,位居世界第一。从南到北,从东到西,一条条高速公路上呼啸而过的汽车,正是高速公路经济腾飞的缩影。
高速公路带来了商品经济的进一步繁荣,因为商品经济的本质是交换;而在赛博世界,应用程序也并非要成为一个个孤岛,你中有我,我中有你才应该是常态。
比如一款地图导航软件,除了单独的出行导航之外,其部分功能还应该可以放在打车软件或者订餐软件中使用。而在这个过程中,必然伴随着不同应用程序之间功能、服务和数据的频繁流动。但在互联网发展早期,调用其他应用程序的功能和数据,对于开发者来说并不是一件非常容易的事情:你得理解程序内部的工作机制,甚至读懂源代码。众所周知,即便是在程序开发语言已经非常简化的今天,在缺乏代码注释的情况下,自己写的代码经常只有自己才能看懂,甚至自己也看不懂。所以得有一种方法,能够让开发人员在不了解具体细节的情况下,可以轻松调用所需要的功能和数据。应用程序也应该修建自己的“高速公路”。API的数据调用效率,足以和高速公路相媲美:当你使用订餐软件的时候,可以瞬间调用支付功能完成订单支付;当你使用打车软件的时候,可以瞬间调用地图软件进行导航……2000年,销售管理软件巨头Salesforce发布了他们Web API的首个版本,允许第三方通过这些Web API调用Salesforce部分功能,实现自动化管理交易流程。Salesforce把需要开放给第三方应用的功能和数据,封装成一个个API接口,方便开发人员“一键调用”。就像高速公路上奔驰的车辆一样,“哧溜”一下就把货物就送到了你手中。“API经济是将企业能力或竞争力作为API服务而进行商业交换的经济模式。”奇安信网络探针事业部总经理刘洪亮说,API大幅缩短了应用程序之间“商品交换”的效率,也让数据的流动变得更加自由。实际上,最开始的API是放在企业内部,供不同应用之间互相调用的。
千禧年以来,企业内部信息化建设如火如荼,ERP、CRM、OA等各类管理软件,逐渐成为了支撑企业财务、进销存、客户管理等日常工作流程的工具,并且积累了大量数据。为了便于企业日常业务的开展,不同应用系统之间,需要API支持数据调用。比如一家制造企业在使用CRM管理客户关系时,可能需要调用ERP软件的企业进货、存货以及销货等各类资源数据。此时,API还没显现出什么安全问题。置身企业内网环境中的它,可以受到防火墙、IDP/S等设备很好地保护。外部人员想要在未经授权的情况下访问内部API,需要绕过一大堆防御设备。并且,此时API的整体数量并不算大,部署相对集中,管理起来也十分轻松。很快事情发生了变化。互联网技术尤其是以电商、社交为代表的移动互联网技术的发展,上下游产业链紧密地融合在了一起,信息化再也不能局限在组织的围墙之内。事情还没有结束。2015年前后,云计算尤其是公有云开始在数字经济领域强势崛起,在云服务的帮助下,人们就像用水用电一样,对应用程序“予取予求”。从那时起,把API托管在云上迅速流行开来,这样可以方便开发者在云上调用相应的API。比如目前大火的微服务架构,它允许开发人员将应用程序微分成一组独立的服务,每个服务都围绕着具体业务进行构建,并且能够独立地部署,而服务与服务之间便需要通过API进行数据通信。
应用程序数量的爆炸式增长,自然带来了API数量的爆炸式增长。作为敏捷开发的重要实现形式,没有人能够拒绝API带来的便利。
路多了,车多了,“交通事故”的数量自然也上来了。
尤其是 “API号”高速公路甚至没有配套的“交通规则”和防范措施。
如前文所述,API的本意是为了方便不同应用程序之间,合法地调用某些特定的功能和数据。可总有人并不是很喜欢守规矩,尤其是现在大量的API都直接托管在云上,所有人随时随地都可以访问。可以想象,一旦API上发生安全问题,必然会给其中流动的数据造成损失。
比如2020年3月,国内知名社交媒体因其用户查询接口滥用导致数据泄露,影响用户数量高达5.38亿;再比如2021年7月,知名职场社交网站被曝出因为API漏洞被攻击者爬取了超过7亿条用户数据;……
尤其是,最危险的漏洞往往能够绕过脆弱的身份验证机制,使攻击者在未经授权的情况下可以访问API资产。这下让攻击者如同发现了新大陆:原本在内网“重兵防守”的数据,现在开始频繁出现在几乎“无险可守”的API上。“2017年前后,我们开始在实战攻防演习期间,不断检测到针对API漏洞的利用行为。”刘洪亮说,而且近几年这个数量上升很快。
从前窃取数据需要攻入内网,再经过一系列复杂的横向移动最终访问目标数据库,难度大、战线长还容易被发现。现在只需要守在API边上“打伏击”即可,隐蔽性较强,攻击成功率可以说大大提高。但历史不能开倒车。数据一旦流动起来,就绝不会因为安全问题缩回去。《中华人民共和国数据安全法》第一条明确说了,为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,制定本法。显然,保护数据安全的目的是为了促进数据的开发和利用,并不是让数据躲在隔离网环境,成为“温室里的花骨朵”。因此API的规模只会不断扩张,除非出现一种可以完全取代API的新技术。既然这样,解决API的安全问题成了奇安信必须要要做的事情,而这个任务就落在了刘洪亮的肩膀上。
奇安信对于API安全的布局始于2019年,那一年国家级的网络安全攻防演习逐渐走向了深水区,攻击队各种五花八门的攻击手法层出不穷。
- 第一,窃取API账户的登录凭证,从而仿冒合法用户身份。登录凭证经常会通过各种意想不到的方式泄露,比如更新社交媒体时一不小心就泄露了,再比如身份信息被明文写在代码中,并且代码被分享到了某些技术社区。
- 第二,对使用弱口令的API账户进行暴力猜解,获得账户的登录权限,弱口令不仅仅局限于123456这种简单的口令,还包括规律口令,比如首字母+出生日期、企业邮箱之类的,很容易被攻击者猜到。
- 第三,利用API自身的漏洞,绕过其安全机制,在未经授权的情况下获得API账户访问能力。
只要获得了API的访问权限,就可以拿到经API调用的数据。事实上,在专门的API安全产品出现之前,有很多组织采用WAF(Web应用防火墙),部署在Web服务器前面,来试图阻止针对API的攻击行为。从名字上来看,再厉害的WAF,它本质仍然是一道“围墙”。围墙就注定了它在保护API方面的最大缺点——没办法保护围墙之外的API。但API的本质就是开放和连接,这一点是不能接受的。并且,对于依靠静态规则匹配来检测入侵行为的WAF而言,想要发现未知威胁也十分困难,尤其是0day漏洞的利用行为。所以从一开始,奇安信就摒弃了这种传统围墙式的建设思路,无论是WAF还是其他什么墙。
至于到底怎么做,奇安信或许早已有了定论。刘洪亮说,API安全卫士应该能够解决API运行时刻的安全问题,从API资产识别管理、攻击检测、敏感数据检测到API风险检测、行为审计、访问控制、攻击防护等方面。在接手API安全这个任务之前,刘洪亮带领的团队主要负责网络探针的建设。探针就好比网络空间的摄像头,能够将所有的事情都记录下来。要知道,探针早已广泛应用于天眼、NGSOC、态势感知等产品中。那么如果在关键节点部署上探针,再配合上一些其他的技术手段,是不是能把所有的API以及安全风险都看得一清二楚?有什么攻击行为也都能了若指掌呢?很快,第一个问题出现了,大多数组织并不清楚自己都有哪些API。
奇安信做过一次统计分析,客户少则部署了上千个API,多则甚至有十几万个API,很多API的开发过程也是跟着业务拓展“赶鸭子上架”,随着业务变革、人员更替,早就把这些API抛之脑后了。就像不知道揣在哪个口袋里的几张红票票,如果不洗衣服根本想不起来在哪。那些原本应该在业务生命周期结束之后就该下线的API,最终也就不了了之。试想,如果连家门口有几条道、道路都通向哪里都搞不清楚,更不要说搞清楚哪条道安全、哪条道不安全了。看不清楚API在哪里才是API面临的最大风险,也是安全防护首先要解决的问题。不过让刘洪亮也没想到的是,仅仅是解决API安全的第一步,就成为了奇安信面临的最大难题。其实识别IT资产都有着类似的方法。无论是电脑、打印机等硬件设备,还是网站、虚拟机、API这些软件资产,都有自己唯一的识别码,为了便于理解,你可以管这些识别码叫做“资产指纹”。通常情况下,“资产指纹”都会按照行业通用规则,被开发人员写入资产内部。系统通过不断扫描、识别资产指纹,从而对IT资产进行统一管理。这个过程就如同上课点名(没有重名),听到我的名字我就答到,老师也就知道我来上课了。在互联网“野蛮生长”的那些年里,为了追求业务上线速度,很多开发者并没有按照规范去开发API接口,导致“资产指纹”五花八门。如果简单的按照API标准规范去识别API资产的话,大量的API就会识别不出来。比如大部分人的身份证号码都是18位数字,但就是有些人的身份证号最后一位是“X”。早些年,某些身份信息录入系统就不支持输入“X”。所以,API安全卫士应该对各种“指纹”都了若指掌,否则系统在点名的时候,部分API内心OS:“What are you 弄啥嘞,我也听不懂啊!”这让刘洪亮一下子都犯了难。如果全中国的程序员一人一个API开发方法,单单是API资产识别的工作量,还不得大到姥姥家去。但当时那种情况,数据安全已经提到了和国家安全同等的高度上去了,没办法也得硬着头皮上,至少得先摸摸底,看看程序员们都是怎么开发API的。常见的程序开发语言也就那么几种,没准能从中找到什么规律。功夫不负有心人。作为拥有足够体量的安全公司,奇安信能够拿到足够数量的样本,可以说能想到的、想不到的API类型,都能在这里见到。
把这些样本拿到机器学习的样本池里进行反复训练,最终得到了一个让所有人都喜出望外的结果:系统可以自动识别出大部分API资产的类型、位置、功能、等基本信息。有了这些信息,才能全面掌握自身API的安全性到底如何,比如是不是直接暴露在互联网上,是不是配置有错误,存不存在弱口令和高危漏洞等等。
奇安信API安全卫士聚焦打造持续监测响应的API安全防护能力,建立基于用户访问行为的用户画像或行为模型,发现API未认证访问、弱口令登录、未授权访问、异常访问行为等。
此外,该产品还具有基于自动化发现并可视化展示及管理API能力,能够及时发现与预警僵尸、未知等异常API,以及避免在API设计之初由于缺乏统一规范导致后期大量API无法统一管理而引入的安全问题。
“借助奇安信的安全能力、大数据能力、安全中台的能力,奇安信API安全卫士为客户提供了摸清家底、看清风险、防住攻击闭环解决方案。”刘洪亮说,一个好汉总得三个帮啊。
比如,借助大数据和机器学习能力,奇安信API安全卫士解决了API资产自动发现的问题;再比如,借助用户实体行为分析能力,建立基于用户访问行为的用户画像或行为模型,只要API安全分析平台发现了针对偏离行为基线的异常访问,即可产生告警。还有,借助奇安信CERT的漏洞情报能力,可以第一时间掌握最新漏洞情况,上线针对该漏洞的防护规则,同时根据漏洞的危害、影响范围,为客户提供漏洞处置的优先级排序。
……
所有API安全卫士所需要的能力,都可以在奇安信的“武器库”里找到。“随着数字经济的发展、微服务的发展以及云原生的发展,安全对抗已经由原来的技术空间的对抗转移到数据空间的对抗。”刘洪亮感慨道,看着API这条铺满应用程序世界的高速公路上奔驰的数据,没有交通规则和安全措施是万万不行的。
但是我们还应该明白,或许对于数据安全而言,奇安信API安全卫士只是万里长征中最微不足道的一步。
四大名侦探之三:你认为哪个名侦探,最适合当数据安全官?(本文后评论)Eg:才华横溢的柯南;坚持原则的包拯;心思缜密的狄仁杰;外冷内热的福尔摩斯……欢迎发挥想象力,或者推荐您觉得您身边合适的人选,并留下合理理由~评奖规则:转发至朋友圈、并在本文后评论,评论获赞的前五都将获得“名侦探盲盒”1份!特别注意,本文评论获赞第一名将获“小米音箱”1个+“名侦探盲盒”1个;本文评论获赞第二名将获“便携充电宝”1个+“名侦探盲盒”1个;特别提示:兑奖时需发朋友圈转发的截图,评奖截止时间为9月2日17点。(近期连续三次参与互动且中奖者将不参评本次活动,给更多粉丝留个机会喔~)
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网
还没有评论,来说两句吧...