3月19日,南方都市報在其相關文章《微博5億使用者手機號疑在暗網出售!驚動微博高層》(https://mp.weixin.qq.com/s/SrNEhLh3kNg1c_m8vvDWZQ)中,介紹了暗網出現“5.38億微博使用者繫結手機號資料,其中1.72億有賬號基本資訊”交易,以及微博對此事做出“此次洩露的手機號是2019年通過通訊錄上傳介面被暴力匹配的,其餘公開資訊都是網上抓來的,並否認是脫庫”的回應。
該文還引述了一位匿名資深安全人士的觀點:通訊錄匹配可以看做變相的爬蟲行為。新浪微博可能沒有對這個介面做監控和風控,導致個人資訊的洩露。防範此類事情的發生,應該是企業的業務。
從資料洩露到暗網交易,中間少不了黑灰產的支援。眾多安全自媒體的文章,也把大量的筆墨放在了對匿名聊天工具 Telegram ,以及如何從其上的“社工庫”中獲取這批被洩微博資料,並驗證交易的真實存在。但是,作為企業背後提供專業安全能力的網路安全公司,這起突發事件中更值得我們關注的,是如何更有效的幫助客戶,防範 API 介面可能引入的安全威脅,從而保護企業客戶的C 端使用者應享有的權益。
API 三大安全威脅與防護思路
綠盟科技認為,下面三種API 介面的安全風險需要我們予以重視:
1、API 的未授權訪問
API業務邏輯漏洞難以在測試時被發現,業務場景複雜、迭代升級頻繁,API許可權控制較難做到萬無一失,一旦某個介面許可權控制出現問題帶來的後果難以預料。
綠盟科技推薦採用代理API的API閘道器產品,對API進行全生命週期的許可權管理,在API釋出過程中實行審計、序號產生器制,執行中進行監測、異常熔斷,在下線過程中及時登出對應許可權,防止未授權訪問,及時監控API風險。
2、API 引數的非法篡改
API引數的篡改和引數拼接已經成為API攻擊中的一種主流方式,各類試探性攻擊也通常採用此方式發起攻擊,一旦服務端引數校驗存在邏輯漏洞,API引數篡改很容易帶來資料洩露、資訊化資產損失甚至資金風險。
綠盟科技推薦採用支援API 防護的WAF產品,通過對 API 引數進行自學習,建立 API 引數規範,對不符合引數正規化或者偏離值較大的請求進行異常告警。結合動態令牌,對通過篡改和拼接API引數發起的非法請求進行阻斷。
3、介面濫用
有國際調研機構曾指出,2022年,API 濫用將成為最常見的攻擊方式之一。簡訊、電郵等 API 介面被濫用,不僅給服務提供商帶來了經濟損失,同時影響了正常使用者的業務辦理。
綠盟科技推薦採用支援機器人管理的Bot產品,因為這類攻擊往往是機器人流量發起的,才可以實現批量自動化。防護思路上,可以通過人機校驗,有效感知並實時攔截自動化工具發起的批量攻擊請求,對API進行基於使用者行為的多維防護。
綠盟業務安全閘道器係統(BMG)聚焦於業務安全市場,主要用於業務系統的安全防護,補齊傳統 WAF 裝置的能力缺失。在防止自動化工具方面,綠盟業務安全閘道器係統可以通過通過機器人緩解、API 防護等功能,對請求流量進行識別,過濾出自動化工具的請求流量,同時針對關鍵 API 進行監控,防止其請求流量異常,來防止攻擊者通過 API 資源濫 用獲取到隱私資料,保障網站的資料安全和完整性。