據 Gartner 資料顯示，API安全漏洞在2021年驚人地增長了600%，很可能成為威脅參與者的首要攻擊媒介。DevOps在防禦勒索軟體攻擊的實踐能否用於提高API的安全性?

API 的優勢

API已經存在很長時間，API主要用於特定型別的應用程式、B2B或基礎設施整合。直到轉向微服務和分散式架構，內部(或東西向)API 才成為將應用程式環境連線在一起並在應用程式的元件和微元件之間傳遞資訊(有時是敏感資訊)的粘合劑。至於外部API，釋出的公共API幾乎存在於擁有軟體產品的企業。

也因此，API為幾乎每個應用程式或服務建立了潛在的攻擊向量。這也是為什麼網路犯罪分子越來越重視利用API來獲取一些訪問特權。

保護 API

降低勒索軟體風險和降低API安全風險之間有很多相似之處。DevOps團隊可以作為抵禦這些攻擊的主要防線。在DevOps中將安全左移，開發人員需要掌握潛在的漏洞並在開發過程中對其進行修復。在 DevOps 中構建安全意味著我們需要考慮如何快速交付安全、高質量的程式碼。此外，掌握一些基本的安全資訊會有所幫助。

以下是將反勒索軟體策略擴充套件到反 API 漏洞利用策略的方法。

防止橫向移動

與勒索軟體一樣，透過利用缺陷和漏洞橫向從端點傳播到端點，API 漏洞利用通常也橫向傳播到整個環境中。

這意味著，即使無法阻止所有API(或勒索軟體)攻擊突破邊界，也可以採取措施，使漏洞難以擴大。透過及時的安全檢測潛在漏洞並修復，並檢測環境中的惡意活動，可以在威脅導致大規模入侵之前阻止其橫向傳播。

關注資料安全

勒索軟體攻擊和 API 攻擊都專注於破壞同一個目標：資料。勒索軟體攻擊者希望保留資料以獲取贖金。API 攻擊者——例如從受感染的 Peloton 帳戶中竊取敏感資訊的人，或其他違反 LinkedIn 的 API 以抓取約 7 億使用者資料的人，通常希望將其洩露出去，或者為了轉售資料，同時損害企業聲譽。

因此，降低勒索病毒風險和API安全風險的關鍵在於保護資料。透過對內部和公共API所能做的事情實施強大的訪問控制和分段，可以降低由於API安全漏洞而導致的資料洩露的風險。

使用行為安全模型

把所有基於簽名的安全控制都投入到攻擊防範中，對於勒索軟體或API攻擊都是無效的，特別是當它們是 0 day 或未知的攻擊時。雖然企業可以強化網路環境的安全，但不能完全保證漏洞會越過防禦系統。

部署基於行為的安全模型，用於檢測環境中的異常活動。根據模型檢測異常可以在攻擊發生時阻止其擴散。

不要過於依賴基於邊界的防禦

保護網路環境的邊界並不是對勒索軟體或API攻擊萬無一失的防禦。相反，應該跨所有端點、應用程式、服務等分發保護。

勒索軟體和 API 攻擊的相似之處在於，它們通常都涉及旨在逃避常見安全監控工具的攻擊方法。例如，攻擊者可能會嘗試利用埠 80 或 443(預設 HTTP/HTTPS 埠)，這些埠在防火牆上幾乎總是開啟的。因此，避免僅依賴標準埠或加密來保護 API 流量。

結論

勒索軟體攻擊和 API 安全攻擊在某些方面有著根本的不同。它們涉及對不同協議的利用，攻擊者的目標通常有所不同。

但就攻擊者的操作方式、他們想竊取的內容(資料)以及基於邊界的防禦的限制而言，勒索軟體攻擊和API攻擊實際上比較相似。開發人員和 DevOps 團隊可以在防範勒索軟體的基礎上調整策略來應對 API 攻擊。

來源：

https://devops.com/how-devops-teams-can-defend-against-api-attacks/

DevOps 團隊如何防禦 API 攻擊