API成為Web應用防護的下一個焦點

IDC在2022年發布了中國數字化轉型十大預測，其中應用現代化與敏捷業務戰略里，都涉及到了一個不可忽視的主角——API。在應用開發階段，API是標準的業務接口；在對接第三方服務時，API則是較為常見的選擇；在微服務架構中，微服務間的通信促使API已然成為標配。未來，隨著企業選擇敏捷業務戰略的方式發展，會將更多的精力投入在業務，而非基礎能力建設，研發體系、商務模式的改變都將接踵而至。企業將會開發、上線更多API對系統內外部賦能，同時采購更多的第三方細分能力的解決方案。API在未來將無處不在，也將成為應用安全領域除WEB應用外的下一個核心保護對象。

API安全主要由三部分組成 —— API發現、訪問控制以及威脅防御。由于API發現涉及到設計、編碼及整體網絡部署，且需要具備主被動識別能力，較小的篇幅無法展開，我們后續詳細闡述。本文將就訪問控制與威脅防御兩點，闡述綠盟科技在下一代WEB應用防護體系建設的思考與方案。

API脆弱性加劇了網絡攻擊風險和業務風控難度

API自身的無狀態性、對請求中資源的可識別性、刪除/修改服務端資源的可操作性、以及服務端返回的足夠詳細的信息所帶來的資源暴露面的擴大等，這些脆弱性成為API被攻擊的天然漏洞，都促使API的攻擊數量呈指數級增長。

面對如此之多的API攻擊，OWASP組織就關注度最高的API風險，總結出了OWASP API Security TOP 10，一方面體現出當前最常見的API問題；另一方面，也對API的開發及安全人員給出有效指導，更加有針對性的實施安全策略。

API安全是落在Web安全的范圍內，但基于API的使用特性，API安全落腳點更為精細與聚焦。例如在API TOP 10中關注較高的，像A1和A5都主要是授權相關（eg，橫/縱向越權），A2和A4中表現出的場景大多是與自動化工具的利用相關（eg，賬號接管、暴力破解、資源濫用、DDoS），與Web TOP 10相比API TOP 10的關注點有著與API使用特性較為明顯的關聯與傾斜。站在企業用戶視角，TOP 10的API安全風險組合后所帶來的業務威脅影響，將會大大影響安全體系的設計理念。

Source：API安全管理論壇

（1）面對業務創新的驅動，保障業務快速發布的同時，如何保障安全同步？

（2）如何判斷未被WAF阻斷的正常請求中，哪些是常規業務請求，哪些是惡意調用？

（3）如何避免拖庫事件的發生？用戶的賬號、手機號、密碼、交易記錄等敏感信息的泄露，會導致直接的社會負面影響及觸犯監管法規的要求。

（4）如何對業務訪問進行識別，避免薅羊毛、批量注冊一類惡意事件的發生？

（5）如何對現有API資產進行梳理？如何對發起調用的客戶端進行權限確認，是否存在橫、縱向越權帶來的主機失陷的嚴重后果？

（6）如何進行業務API管理，避免廢棄、內部API不會被攻擊者發現及利用？

（7）內部API之間的調用常態化，內部環境被暴露的風險顯著提高，如何避免內部遭受攻擊，以及一旦發生攻擊后，如何進行范圍控制，避免做為跳板實施全盤失陷的嚴重后果？

解決API問題，首要的是將API安全定位于一個新的防護對象，而非僅僅保護網站中的API

防護對象的擴展，攻擊手段的工具化，惡意行為趨于合法化，攻擊側重點從漏洞利用，到資源濫用、訪問控制，以及持續增長的未被納入管理的API接口，都需要我們對安全架構進行升級，需要在原有WAF能力的基礎上，添加API識別能力、防護能力、Bot管理能力，同時提供接口，支持便捷、自動化的API防護對象導入、上傳，以達到覆蓋更全面的使用場景。

我們將上述的目標，拆分為兩個方向——技術層面（防護能力），業務層面（適配能力）。

技術層面

我們面臨的威脅主要有Web漏洞利用、資源濫用、資源訪問控制，對應的防護能力下，應該具備WAF、API發現、API訪問控制、API威脅防護、Bot防護和Bot畫像多項能力。

API做為承載業務的基石，實現其資產梳理、敏感數據分類、合規檢測，可以輔助用戶有效的實現訪問控制；調用資源管控，配合Bot檢測有效地規避濫用場景。而威脅檢測、權限控制，則可在漏洞利用防護的基礎上，進而補充業務邏輯防護，更有效的進行業務風險評估與加固。

識別Bot，識別惡意Bot，進而識別善于偽裝的高級Bot，是所需要考慮的第一層面。基于Bot行為，分析Bot意圖，評估業務面臨的風險并進行預警，對Bot進行溯源追蹤、聚類分析，一方面可以更加有效的幫助企業客戶及時發現問題，針對性的進行安全策略的調整與業務加固；另一方面，生產并共享Bot情報，為后續Bot的變身出現，做到先于攻擊行動前進行發現。

業務環境適配層面

1、按基礎環境：面對客戶場景不同的業務組件，需靈活接入；

2、按上云節奏：客戶本地、云端、多云部署業務，需統一管控； 

3、按業務發展：先進技術云原生、微服務，需輕量適配； 

4、按暴露面：確保所有對外的API流量，持續注冊在威脅防護設備上；

防護對象、防護場景、防護能力的變化，綠盟科技推出下一代WEB安全防護解決方案

在2021年，Gartner 正式將Web Application API Protection（WAAP）定義為Web Application Firewall（WAF）市場的下一階段，將WAF能力擴展為4個核心功能特性：WAF、DDoS防護、Bot管理和API防護。[4]        

我們從企業客戶在API風險中遭遇最多的“漏洞利用”問題出發，選擇與之對應的防護能力WAF為出發點，提供包含DDoS防護、Bot流量管理、WAF、API防護于一體的下一代WEB安全防護解決方案，保障用戶的Web應用防護及API安全防護。后文我們引用Gartner對于該解決方案的簡稱WAAP進行方案介紹。

橫向擴展覆蓋更全用戶場景，對外解決身披“合法身份”進行賬號接管、黃牛黨、薅羊毛這些引發敏感數據泄露、業務負載大，造成客戶經濟、聲譽雙重受損的問題；對內幫助客戶梳理API資產，分類安置，基于不同的API類型，按行為、按權限、按上下文邏輯，在合規檢測的基礎上、解決API越權、濫用等多方面問題。

縱向延伸深挖產品領域技術，識別新問題，跟進新熱點，保持前瞻性。方案的設計有以下四個維度：

維度一：單點聚焦核心能力

1、Bot防護：精準實現Bot流量識別與降噪，降低網站漏洞暴露以及業務側攻擊的風險；對攻擊者意圖進行深度分析、攻擊者路徑追蹤溯源、業務風險告警與標識等，從而在提供安全保障的同時極大地減輕了客戶運維成本。

國際權威機構Forrester，從技術水準、市場份額等多方面，面向全球格局對Bot管理技術進行安全廠商調研，綠盟科技做為中國安全企業代表，被列入《Now Tech:Bot Management,Q4 2021》報告。[5]

2、API防護：通過主動被動相結合的方式，輔助客戶進行完善的API資產梳理；結合自動生成的API基線及導入的OAS文件，進行API合規檢測；支持解析多協議流量，進行攻擊流量過濾，同時關聯惡意Bot行為分析，進而達到保障合法用戶正常訪問、拒絕非法用戶訪問、扼止越權訪問、阻斷惡意漏洞攻擊、規避敏感數據泄露等風險。

綠盟科技做為中國安全企業代表，被Forrester列入最新的《Now Tech:Web Application Firewalls,Q2 2022》報告。[6]

維度二：多種產品形態，適配客戶不同階段環境

1、硬件、虛擬化都支持：多款集群方案，無論是對接F5反代不改源IP，還是插件式部署，對接Nginx不改網絡拓撲，抑或是統一流量編排，面向客戶不同部署環境，保障業務高穩定、高可用。

2、虛擬WAF：配合業務上云節奏，對接14種品類云平臺，保障客戶業務無憂上云。

3、云原生WAF：伴隨應用的云原生化，將安全能力適配云原生架構，融入微服務場景。提供適配K8S、Ingress controller部署的容器化WAF，并進階提供適配envoy服務網格架構的云原生WAF，輕量級、無感知的與微服務應用伴生，解決東西向防護需求，覆蓋數千容器運維管理場景。

4、硬件、虛擬化都支持：產品能力組件化。為進行全面防護，原有產品以糖葫蘆式堆疊部署，流量挨個串行解析，每個節點均為單點故障點，整體時延加長，數通層面重復加載，各自為營。通過實現安全引擎組件化，解耦隔離數通層與安全防護層，流量一次解析，按需動態加載防護能力。保障業務高穩定的前提下，提供輕量級、靈活化的防護能力。

維度三：步步為營，協同合作

1、按需組合：抗D防護，識別DDoS攻擊，進行大額流量清洗。Web安全防護，面向URL、API，阻斷漏洞利用攻擊，進行“黑”流量清洗。Bot管理，識別自動化工具，客戶端環境驗證，進行“灰”流量清洗。API安全防護，識別越權、生成業務圖譜，進行“白”流量辨別。

結合客戶防護優先級，支持靈活組合產品能力，基于實際業務場景提供專屬特色方案，保障Web應用、移動應用、API免受各種不同的攻擊。

2、前后呼應：經過API網關認證后的合法身份，若被檢測有攻擊行為，支持與API網關聯動，進行身份封禁。

3、安全左移：支持對接包含代碼掃描、應用掃描后的漏洞掃描結果，針對漏洞信息，提供不同層面的智能補丁，保障業務快速發布的同時，代碼加固同步配合。

維度四：可提供WAAP端側能力，也支持WAAP平臺側服務 

一體化管理的端側能力：輕量化的docker部署，摒棄底層依賴；基于業務流量變化，動態加載安全組件數量；端側流量統一編排，擬人化的安全配置界面（同一產品，不分數量，一處配置入口）。

多維展示的平臺側服務：面向運維，統一管控多個端側；面向用戶，用戶資產風險完整性評估；匯集端側數據，關聯分析攻擊信息，輸出全面的攻擊面像。

在客戶場景下的實際應用

簡而言之，面對企業用戶在業務、規模的不同發展階段、行業屬性所帶來的不同側重的風險問題、不同的優先級，以及部署位置的不同，都可以結合綠盟科技的WAAP產品方案，選擇貼合自身需求的方案組成與產品形態。

這里做三種場景下不同解決方案選擇的簡單舉例：

場景一：客戶合規為主，在漏洞利用防護的基礎上，面臨數據爬取、惡意掃描、惡意注冊的困境。

解決方案：配置集Web安全、Bot管理、API安全為一體的WAF型號，或者通過WAF升級，新增Bot管理、API安全功能模塊。為用戶提供快速、全面的安全能力。

場景二：客戶業務場景多元，如互聯網電商企業、醫院、國家電網，有更趨向于業務安全的薅羊毛、庫存占用、惡意競價、拖庫、賬號接管、黃牛黨等場景。

解決方案：在已有WAF產品的基礎上，可加購提供更加專業化方案的Bot管理產品（BMG），在應用安全防護的基礎上，提供業務安全防護能力。

場景三：云原生環境。面向節假日，流量波動大。既有南北，也有東西向防護需求，需要防護產品更貼近業務側，而不僅僅是在網關處，集群部署，統一運維，風險集中管控。

解決方案：打包提供WAAP端側及WAAP平臺側能力，面向每個業務伴生發布云原生安全組件，通過最小粒度組件化的安全引擎進行進行安全能力加載，結合業務流量的變化，動態加載安全組件數量，提供統一的運維管理及業務風險管理可視化界面。

總結

隨著API以及線上業務的開展，綠盟科技也將持續提升針對OWASP TOP 10 、OWASP API Security TOP 10、OWASP Automated Threats的威脅防御能力，為企業線上的數字化業務提供堅實的安全防護。后續，我們將更加深入的介紹下一代應用安全防護解決方案中的產品提供的價值及特性，期待與行業同仁一道，攜手推進安全領域的進一步健康發展，共同應對應用安全防護的新挑戰。

參考文獻

1  State of API Security, Salt Labs Q1 2022.5.

2  The State of the Internet, Akamai.

3  Protecting Your APIs From Abuse Data Exfiltration, Cloudflare.

4  Magic Quadrant for Web Application API Protection, 20 September 2021.