2023年1月5日,永安在线进行品牌焕新,正式更名为“威胁猎人”

Gartner预测:“到2022年,API滥用将成为导致企业Web应用程序数据泄露的最常见攻击媒介。”

 

因此,对于加强API安全管理成为每个企业都必须重视的事情。

 

然而,对于API的安全管理也并非易事。移动互联网时代,企业业务处于快速的动态变化过程,导致了对API风险感知的难度骤增。主要存在以下两个难点:

 

一、攻击通常因为API逻辑缺陷所导致

在数字化浪潮下,代码迭代得越来越快,API承载的逻辑越来越复杂,API不可避免得存在可以被利用的Bug或逻辑缺陷。OWASP API 安全 TOP 10 列表中的第一大威胁:损坏的对象级授权 (BOLA),正是利用 API 逻辑缺陷,获得对数据的未授权访问。

而且,每一个 API 都不同,产生的漏洞逻辑也是独一无二,许多扫描工具都依赖于已知规则和行为识别风险,这种方法都很难检测或阻止利用每个API逻辑中独特漏洞的最新攻击。

 

二、一般都是符合逻辑的正常访问请求

随着攻击者的手段不断变化和升级,现在的攻击流量能够伪装成符合逻辑的正常访问请求,隐藏在海量的正常的业务流量当中,安全团队很难定位出风险流量,造成许多 “坏人进来了不知道,窃取完成果也不知道,事后舆论发酵监管层问询才回过神来”的局面。

 

据了解,目前市面上风险感知能力主要基于两种技术方式来实现:

 

一、以规则和行为特征为基础来发现风险事件

 

缺点:误判率极高、解释性差

根因:由于业务的不确定性和持续迭代特点,基于规则和行为特征来发现异常行为这种方式,会让行为特征本身的可依赖性降低,这使得无法直接判定风险,且会产生较高的误判率。并且这种方式也缺乏对风险的可解释性,大部分情况无法讲出是什么团伙的什么目的,导致法务难以跟进追责。

 

二、以AI建立业务基线的方式为风险发现提供基础

 

缺点:误判率高、覆盖率低

根因:业务在客观事实上存在很多不确定因素,甚至是不存在客观基线,以AI建立业务基线的方式对于很多处于不规则变动中的API必然会产生风险误判的情况,随着特殊API的增多,误判率将不断增高,风险识别的覆盖率随之会降低。

 

而以上两种技术路径存在的明显缺点,却可以在以精准情报为驱动的技术路径中完美解决。

 

  • 以情报能力建立业务风险基线,让风险感知准确度到达新高度

 

永安在线在过去多年的探索实践中,专注于业务安全情报能力的培养,从情报挖掘出来的众多风险事件中发现,情报在API风险感知上,有着天然的优势:以情报能力建立业务风险基线,不以业务流量大小为基础,通过判定恶意流量变化情况,更精准识别风险事件,误判率低,可用性高,能够及时全面感知内外部API风险。

 

优点:精准度高、覆盖率高

根因:精准情报能力可以准确描绘出业务风险全景图,基于该稳定的风险基线,让风险事件发现更精准和全面。此外,情报还能对识别出的风险能给出具体的攻击团伙以及攻击者的攻击方法,让风控变得具备可解释性,也为下一步的打击追责提供有利支撑。

 

下面,我们通过一个真实案例来了解为什么情报能大幅提升API风险事件发现的精准度。

 

图一为某企业所有业务的总访问量曲线图,可以看出一周里每天的总访问量走势大致相同,虽在每个时间点内会有波动变化,但每天的总体变化趋势相似,时间区间内的流量稳定,在传统的流量统计模型中基本不可能感知到里面已经蕴藏着黑产攻击。

 

(图一)

 

图二显示的是该企业其中一个业务API的访问量曲线图,可以明显的看到对比总访问量的曲线图来说,它们只有一部分的相似,很多时间区间内的访问量的波动更大,每天的变化也不规则,存在不确定因素。这也就意味着很难存在客观的业务安全基线能够将所有的API进行风险审计,采用以AI建立业务基线的方式变得不可靠,必然会产生误判、漏判。

 

(图二)

 

图三是在引入高风险IP这一情报属性并建立高风险IP流量占比指标后得出的曲线图。依托于对高风险IP流量占比的异动幅度检测,就能明显的看出在几个时刻无论是总访问量还是单一API在下降到波谷时,高风险IP占到总流量的比重却达到高点,说明了那个时点大部分流量是高风险IP在流入。

 

由此就可以很清晰的判断出该企业已经存在着被黑产攻击的风险,这在传统的基于经验规则的风险审计中很难发现,因为从行为特征看根本无异常,如果不是情报指标的加入监测,挖出潜藏于正常流量下的风险,风控人员不会也不敢启动相关安全策略,就极大可能导致数据泄露的风险发生。

 

(图三)

 

随着网络黑产的日益发展,目前黑产已经实现各类攻击资源高度的模块化和市场化,大多数黑产发起攻击往往会使用代理、秒拨来隐藏或伪造自身IP,从而绕过IP频控限制实现作恶行为。通过永安在线精准的风险IP画像情报,能够统计各API接口风险IP、国内数据中心IP、海外数据中心IP的访问比例,准确感知已经被黑产滥用的风险API接口清单,由此帮助企业高准确度的发现并处置数据资产泄露风险,有效实现对API的安全管理。

 

除了风险IP画像情报,永安在线通过多年来持续专注于黑灰产情报能力建设,目前已建立丰富的业务风险黑产情报库,涵括网络基础设施情报、黑产工具情报、黑产交易情报、黑产舆情情报等。能够引入包括风险IP画像情报、风险手机号画像情报、风险邮箱画像情报等一系列高可用的、稳定的检测指标构建坚固的业务风险感知基线,更高准确度的感知API风险威胁的存在,全面保障企业每一个API的安全运行,支撑企业业务健康良性发展。