面向API应用的网络攻击已经开始对各大企业组织造成严重的破坏。因此，每家组织都需要提升对API应用安全的重视度。日前，网络安全研究员Sam Curry和他领导的研究团队，在数十家全球顶级汽车制造商生产的车辆和车联网服务中，发现了许多API应用缺陷，利用这些缺陷，攻击者可以进行广泛的恶意活动，从非法窃取车主个人隐私信息，到远程解锁车辆、监控车辆等。

Sam Curry表示，通过深入的研究分析和实际测试，他的团队发现API应用安全问题几乎影响了目前所有主流的汽车品牌，包括奔驰、宝马、劳斯莱斯、法拉利、保时捷、捷豹、路虎、本田、英菲尼迪、日产、讴歌、丰田、福特等20多个知名品牌。此外，研究团队还发现，在Reviver、SiriusXM和Spireon等主流车联网服务商的应用方案中，同样存在大量严重的API安全缺陷。

据了解，通过利用所发现的API安全缺陷，研究人员成功进入了配置不当的SSO系统，成功访问了奔驰、宝马等车企的多个内部业务系统，以及其中大量的员工和客户信息数据。例如对奔驰公司的测试中，研究人员成功访问了多个私有GitHub实例、Mattermost上的内部聊天频道、服务器、Jenkins和AWS实例，并连接到客户车辆的XENTRY系统等；而在对宝马公司的测试中，研究人员通过访问内部经销商网站，超权限查询了客户汽车的VIN，并检索出了包含敏感车主详细信息的销售文档。一旦这些安全问题被真实的攻击者发现，后果将不堪设想。

API已成为关键性安全问题

其实，API应用安全问题不仅仅是在汽车制造领域存在。一项最新的研究数据表明，在过去的一年中，大约95%的受访企业遭遇过API应用安全事件。此外，由于API安全威胁，50%以上的受访企业不得不推迟业务应用程序的发布和更新。

为什么API安全已成为一个快速发展且急需有效解决的安全问题呢？主要原因如下：

• 不断变化的环境：随着组织在其信息化基础架构中添加更多的应用程序和软件，它们在不知不觉中集成了大量不同的API应用。所有这些API都是不同的，是由不同的开发者设计提供。因此，一般性的安全方法无法充分保护如此多样化的API应用；
• 独特的网络攻击：由于每个API都很独特，因此它也往往会存在独特的安全缺陷，攻击者会发现利用这些缺陷将有利可图。不同于传统的跨站脚本和SQL注入攻击，API应用缺陷更多是因为业务逻辑方面的不足导致，利用这些漏洞会影响组织数据的完整性；
• 漏洞检测延迟：传统的应用系统测试工具常在开发的后期阶段使用。然而面对API应用时，这种延迟扫描的效果往往不是很理想。此外，在开发的最后阶段使用传统的安全工具可能会生成更多的误报。

API安全防护的挑战

API的安全挑战正在不断出现，但是企业在大量应用安全防护工具应对API安全威胁时却表现得差强人意，原因是什么呢？

01

API不同于Web应用程序

对于API安全防护而言，大多数目前的应用程序安全工具无效的主要原因是IT团队采用安全方法太传统。企业先要意识到虽然API是Web应用程序基础设施的一部分，但它不仅仅是Web应用程序。两者不一样，它们有不同的安全漏洞，因此需要专门的保护策略。

比如说，失效的对象级授权（BOLA）是较为普遍的API安全问题之一。当API将处理对象标识符的端点暴露在已验证但未授权的用户面前时，就存在这个问题。由于大量复杂的微服务参与其中，BOLA问题是传统Web应用程序安全工具无法充分解决的。但是事实上，很多企业继续通过DAST工具来处理这类安全问题。由此带来的虚假安全感，正是API安全问题不断严重的原因之一。

02

应用程序安全不是为了保护API

大多数应用程序安全工具不能有效保护API应用的主要原因在于其固有的技术局限性。

比如说，静态应用程序安全测试（SAST）不适用于API，是因为SAST主要依靠源代码检查和数据流建模来确定漏洞是如何发生的。由于使用复杂的第三方框架和库，SAST扫描器无法将相同的方法运用于API。因此，在API上运行SAST工具时，将会生成太多的漏报，从而使实际的安全漏洞无法被有效检测出来。

03

API安全测试延迟

使用应用程序安全工具来检查应用程序的安全性常出现在软件开发生命周期（SDLC）的后期，因为这些工具需要切实可行的应用程序来执行测试。然而，这种方法不应该运用于API安全。由于基于微服务为中心的架构，开发人员需要在开发过程中测试各个API的漏洞。这种快速扫描让组织可以将安全得多的API部署到基础设施中，尽量降低未来的风险。

API安全方案的改进

随着信息技术的快速发展，API安全防护也在持续演进过程中，多向量、自动化工具、武器化人工智能类的攻击将成为API攻击的主流，相应的，安全防护措施也需加强系统化、自动化、深度学习、智能化能力，向以体系对抗体系，以智能防护智能的方向演进。

传统的应用程序安全工具不会毫无用处，企业仍然需要部署Web应用防火墙（WAF）、SAST和DAST等工具。但是为了实现更好的API防护效果，企业组织应该提前规划，积极采用更先进的方法，结合人工智能、机器学习和行为分析等现代技术来检测API应用中的缺陷。企业也可以考虑采用托管式的API保护服务，在此模式下，安全人员将不依赖过去的内容输入验证，即可快速检测新的安全漏洞，并API应用的特点提供针对性的保护。

此外，开发人员必须通过安全“左移”方法，确保其API在开发的早期阶段，可以通过有效的方法检测漏洞和修复漏洞。这有助于保证API实际应用后的可靠性和安全性。

来源：安全牛