API上出现了恶意机器人!如何击败API机器人攻击?
2022-10-25
来源:FreeBuf
应用程序编程接口(API)实际上是现代应用程序的构建块,对于构建和连接应用程序及网站都是十分必要的存在。如今,应用程序开发中的API使用已成为新的实践标准,通过集成第三方服务的功能,开发人员不用再从无到有自己构建所有功能,这样一来可以加快新产品及服务的开发过程。
近年来,API的使用更是呈现爆炸式增长。根据Akamai的说法,API通信现在占所有互联网流量的83%以上。
尽管API支撑着用户早已习惯的互动式数字体验,是公司数字化转型的基础,但由于API的防护薄弱,同时也为恶意黑客提供了访问公司数据的多种途径,成为攻击的主要目标之一,特别是恶意机器人攻击。
根据Perimeterx最新调查数据显示,通过API端点进行登录尝试的流量中,高达75%都是恶意的。攻击者正在系统地使用机器人进行恶意登录尝试。那么如何保护API免受机器人侵扰和攻击呢?下文将为大家介绍API 机器人检测和防护的有效方法。
API机器人攻击不断增长
API允许开发人员更轻松地访问、重用和集成功能资产和数据,从而将敏捷性、速度和效率引入开发流程。这也导致了越来越多的组织过度依赖API,开始部署越来越多的API来帮助实现自身的数字化转型计划。
API流量不断增长,但恶意API流量却增长得更快。数据显示,Salt Security客户每月的API调用量增长了51%,而恶意流量则增长了211%。
API经常面临机器人网络攻击的风险,如拒绝服务(DoS)和分布式拒绝服务(DDoS)攻击、内容和敏感信息抓取、梳理攻击以及账户接管等。
根据Salt Security于去年2月发布的报告显示,2020年有91%的公司存在与API相关的安全问题。其中,最常见的是漏洞,涉及54%的受访组织;紧随其后的是身份验证问题(46%受访者)、僵尸程序(20%受访者)以及拒绝服务(19%受访者)。
此外,98% 的组织宣称发生过针对其应用程序/网站的攻击,而82% 的组织报告说这些是机器人网络攻击。一些组织每月至少面临一次 DoS/DDoS 攻击或某种形式的注入或属性操纵事件。
但糟糕的现实是,超过四分之一的组织正在没有任何安全策略的情况下运行基于关键API的关键应用程序。例如,Peloton最初就是可供任何人在任何地方通过API访问用户数据,而无需任何身份验证。
API机器人攻击日盛的推动因素
40%的组织报告称,由于API的存在,超过一半以上的应用程序暴露在第三方服务或互联网上;
基于机器人的API攻击更容易编排,因为僵尸网络随时可供租用;
传统的检测和预防技术,如速率限制、基于签名的检测、阻塞协议等,被发现无法抵御高度复杂的API机器人攻击;
恶意行为者正在系统地利用机器人,组织通常很难区分人类活动和机器人活动,以及区分好的和恶意的机器人,这严重限制了他们保护API免受机器人攻击的能力;
API请求不经过浏览器或原生应用程序代理的传统路径;它们充当可以访问资源和功能的直接管道。这使得API成为攻击者有利可图的目标;
通常,开发人员使用API的标准/通用规则集,而不考虑业务逻辑。这就为API敞开了业务逻辑漏洞的大门,这些漏洞经常被机器人利用来造成严重破坏。
如何保护API免受机器人攻击影响?
收集情报,建立正常行为的基线
为了有效地保护API免受机器人攻击影响,组织需要确定什么是可接受的正常行为,以及什么是异常行为。为此,组织的安全解决方案必须监控API流量,并通过指纹、行为、模式和启发式分析、工作流验证、全局威胁源、网络响应时间等收集情报。这些见解必须与内部和外部的信誉源相结合,以建立人类和机器人行为的基线,以及在机器人行为中,区分什么是好的和坏的行为。
这个过程必须是持续的,因为数字领域正在迅速发展;攻击者正在不断利用复杂的技术,以确保机器人能够模仿人类行为。组织需要不断地针对API安全性重新校准哪些是可接受的和恶意的行为。
持续监控API请求
根据基线模型细粒度地监控所有API请求。API中的机器人检测过程需要智能(使用自学习AI、深度分析和自动化)且灵活,以确保实时机器人活动检测的敏捷性、速度和准确性。此外,持续的监控和记录同样至关重要。
部署即时的恶意机器人缓解技术
为了保护API免受机器人攻击,组织不能停止实时检测,必须能够阻止恶意机器人访问API和API经常暴露的关键任务资产。为此,智能API机器人管理解决方案可以即时、智能地对抗最复杂和最隐秘的恶意机器人。
智能API机器人管理工具根据实时洞察和信号决定是否允许、阻止、标记或质疑传入的API请求。结合一个可靠的错误管理系统,这有助于最大限度地减少误报和漏报。换句话说,它们有助于为恶意机器人和恶意行为者访问API、非法流量和良性机器人增加摩擦力。
实施零信任架构
采用零信任架构,其中每个用户都必须证明自己的身份,并根据其角色和执行必要操作所需的范围内给予访问权限。不受限制的、未经检查的权限和特权都不利于API安全,特别是针对诸如凭证填充和暴力攻击等机器人网络攻击。此外,组织还可以实施基于角色的强大访问控制、强密码策略和多因素身份验证。
自定义规则集
根据上下文智能定制规则集,以防止机器人利用API中的业务逻辑缺陷和其他漏洞。此外,请务必在获得认证的安全专家的帮助下,准确地定制安全策略。
更多信息可以来这里获取==>>电子技术应用-AET<<