梆梆资讯
API 安全专题(14)| 为什么下一代WAF解决不了API的新威胁?
2023-12-20
WAAP(Web应用和API保护平台)自称“下一代WAF”,旨在超越传统WAF,为用户提供相应的API保护能力,被视为更高级的WAF方案。那么,企业部署WAAP方案后,能否满足新业务形态下的API安全保护?是否需要部署独立的API产品?
WAAP方案目前覆盖的API安全能力主要包括 API 文档支持、schema分析和验证以及API资产发现,对防范SQL注入、代码执行和DDoS等攻击具有重要作用。但每个API应用都有其独特的底层业务逻辑和功能,WAAP方案仅能解决API安全威胁的一部分。随着现代企业的API应用激增,基于WAF或WAAP的防御措施不足以应对如今更复杂和多样化的API攻击威胁。WAAP是在传统WAF方案上的发展演进,添加了特定的API保护功能,但如果企业想对所有的API安全威胁都有可见性,那仅靠WAAP方案的API防护能力是远远不够的。
API攻击方式与传统应用程序攻击有很大不同。随着企业数字化转型的深入发展,其业务系统对外暴露面急剧增多。由于每个API应用都有自己独特的业务逻辑,所以每次API攻击都是唯一性的,攻击者会做大 量的探测来发现可以利用的API漏洞,这种侦察活动可能需要几天、几周甚至几个月的执行时间。如果不借助适当的上下文信息检测,攻击者可以在整个攻击生命周期中轻松隐藏或伪装攻击行为。
就API安全防护而言,企业需要关联上下文并深入分析来发现潜在威胁,仅仅依靠WAAP提供运行时保护会使API应用存在几个关键的安全隐患。具体来说,WAAP难以实现以下防护能力:
1. WAAP无法监控较长时间的API攻击
API攻击的生命周期一般较长,因为攻击者需要不断探测API以发现可被利用的漏洞。WAAP方案缺乏对长期业务活动的可见性,因此无法发现恶意行为者为攻击API所进行的持续性侦察活动。为了保护API及其所传输的敏感数据,企业不能只在攻击危害产生后才开始被动应对,即使没有API攻击的所有细节,但通过分析适当的API应用上下文,也应该更早地识别攻击。
2. WAAP无法识别API的行为异常
除了随时间建立的可见性,API安全解决方案还必须精确识别与API攻击活动相关的异常行为,包括扩展侦察活动、API滥用及业务逻辑操纵攻击。在开发和测试过程中识别和清除所有的业务逻辑缺陷和漏洞非常困难,因此许多API应用都在假设存在业务逻辑缺陷和滥用可能性的情况下运行,准确识别行为异常和用户意图的能力成为API安全策略中最关键的部分。API攻击是基于一系列活动的行为攻击,高级API安全解决方案可以判断生态系统中什么代表“正常”行为,什么代表可能潜在威胁的“异常”行为。而WAAP方案更善于寻找已知的攻击模式,缺乏行为上下文,无法可靠地区分“普通”和“异常”的API行为,从而触发危险信号。
3. WAAP不能辨别用户的行为意图
如果攻击者出于恶意目的窃取并使用合法访问凭证来访问重要API,WAAP通常无法发现攻击者未经授权的访问及其伪装攻击。如果没有用户行为的上下文,这些访问行为对于WAAP的检测机制来说就合法。WAAP不能在应用程序堆栈的不同应用层之间提供完整可见性,所以它们不能信息关联发现潜在的威胁。
不可否认,WAAP比WAF更为先进,可以为企业提供相应的API安全防护,但不能完全解决新型API安全风险,仅仅依靠WAAP保护API将留下大量安全盲区。为了全面保护企业的API安全,除了应用WAAP外,还应采取必要的API运行时保护措施。
梆梆·API安全平台通过对API上线运行后的数据流量进行实时检测,解决API上线运行后所面临的各种安全风险,为企业建立一套完整的API安全防御管控机制,产品从API资产管理、API风险检测、API敏感数据识别、API防护管控四大核心模块,帮助企业解决资产数据难治理、风险行为难发现、数据泄露难感知、威胁攻击难防护四大安全问题。
产品综合利用前端检测技术与后端流量分析技术,将API访问端和API服务端之间建立端到端的安全访问机制,降低企业在设计API之初遗留的安全风险,并引入零信任理念,建立可信机制,确保前后端访问行为均经安全认证,且采用AI/ML技术,针对大量的业务往来和频繁的业务更新以及不断变化的攻击方式,进行动态持续化的检测及自动化防御机制,解决企业在数字化转型下建立的新业务所带来的新型安全风险问题。
参考链接
https://salt.security/blog/critical-api-security-gaps-in-waaps
Copyright ©2022. All Rights Reserved 京ICP证160618号 京ICP备11006574号-1