API安全的最大威胁:三体攻击
最近,《三体》大受欢迎,在市场上也引发了广泛讨论。近年来,在API安全领域中也揭示了新的威胁——'三体攻击'。
毫无疑问,并非来自三体人的攻击。这里的三体攻击特指(trinity attack)也称为三位一体攻击(trinity attack),是一种新型的攻击手段。
三体攻击开始流行
上半年期间,
研究人员首次记录了所谓的"三体攻击"事件,
这一新型网络恶意行为模式能够同时利用OWASP漏洞列表中第
二项至第九项的关键漏洞机制:
包括中断式的身份验证流程(API 2)、数据泄露倾向
(API 3)以及资产管理缺陷(API 9)。尽管安全评估报告表
明这些异常行为仅占全部API异常行为总量(约1亿次)的一
小部分,
但值得注意的是,在过去一年中这类多线程漏洞的数量保
持稳定。
这表明这种多线程漏洞不仅存在显著威胁性而且其影响范围具
有一定的持续性。
三体攻击其本质特征在于其独特的多层次防御体系被突破性攻破,在这种情况下系统将面临严重的功能紊乱风险。具体而言,在基于凭证的攻击模式中, 攻击者不仅能够绕过传统的认证机制, 同时还能够突破高级权限管理系统的访问控制, 这种状态下系统将面临最大的安全威胁
例如, 在基于凭证的攻击模式中, 攻击者不仅能够绕过传统的认证机制, 同时还能够突破高级权限管理系统的访问控制.这种状态下系统将面临最大的安全威胁
对于不当资产管理(如API9),我们可以参考影子API这一情况(其特点是启动后被遗忘或忽视)来理解潜在风险所在。这些接口往往容易遭受攻击,并且因为它们不在现有的安全监控机制之下而容易成为漏洞目标。值得注意的是,在发起撞库攻击之前,攻击者就能够利用已知的接口模式,在发起撞库之前就识别出潜在威胁。
对于许多企业而言,实施三体攻击是一项极具挑战性的任务。这主要源于其难以获取完整的攻击面信息,并且在动态变化中难以实现对所有API的有效统计与维护工作。此外,在面对海量流量时也无法实现对看似合法但可能隐藏恶意意图的大规模流量进行实时监控。这一现象的根本原因在于大多数企业的API安全系统通常采用基于行为模式( behavioral analysis)的方法来进行监控。
如何防御三体攻击
随着时间的推移, 企业的API基础设施以显著的速度增长. 因此, 许多企业已广泛采用监控与检测Web应用程序(如Web应用程序防火墙(WAF))的安全解决方案. 这类方案采用基于签名的身份验证机制, 因此无法识别并阻挡三体攻击. 另外一些企业则倚重基于Bot的技术来识别威胁. 然而, 这些Bot检测工具通常利用JavaScript来进行识别与防护. RESTful API通常采用JSON或XML格式, 而非JavaScript脚本. 这也就意味着, 基于Bot技术的监控系统无法覆盖这类API.
三位一体攻击一般性地具备一个 bot 组件,在目标基础设施内能够自动化地进行快速枚举。由于 WAF 忽略了从 API 发出的合法请求流量以及 bot 解决方案无法访问 API 的有效负载流量而导致两者都无法有效地检测三位一体攻击。企业常常不了解 bot 安全与 API 安全之间的内在联系,默认将这两个领域视为独立的问题来处理。
这种故意的"分治"策略直击攻击者的核心目标,在现有的AI防护体系中若要实现对抗性外推的有效防御,则必须将API安全方案与机器人检测和应对机制协同工作以实现对抗性外推的有效防御
API安全游戏规则改变者
三足鼎立的攻击模式表明确切地指出这一现象是 API 安全领域的重大升级。当前状况下, 企业面临大量尚未被识别出来的多维度威胁, 并且现有的防御机制尚不能有效应对这些新兴的安全挑战, 因此, 不得不采取更加积极的安全策略与技术手段来保护 API 系统的安全性。
三足鼎立的攻击模式表明确切地指出这一现象是 API 安全领域的重大升级。当前状况下, 企业面临大量尚未被识别出来的多维度威胁, 并且现有的防御机制尚不能有效应对这些新兴的安全挑战, 因此, 不得不采取更加积极的安全策略与技术手段来保护 API 系统的安全性。
仅当企业全面覆盖API安全的全生命周期时(...),才能确保对其 API 的全面保护并抵御类似于三体人般具有高度威胁性的新兴威胁(如高级持续性 threat, APT)。在 API 开发阶段实施的安全测试,在 API 被纳入到运行时监控系统中进行持续追踪与管理的过程中,在识别并应对潜在攻击模式这一环节上——均需采用基于全生命周期的方法。