Cloudflare 2024 年 API 安全和管理报告

如题所述

Cloudflare，全球近20%的网站背后的支撑力量，其作用远不止于此。实际上，超过网络流量的一半是动态的，而非网页，而是应用程序编程接口(API)的流量。为了深入探讨如何保护客户，以及API安全的未来趋势，我们编写了《2024年API安全和管理报告》。不同于其他行业报告，我们的报告基于真实流量数据，而非用户调查。

今年的报告揭示了一个关键发现：很多企业和组织未能准确掌握API端点清单，即使他们自认为能够正确识别API流量。Cloudflare提供两种方法帮助企业发现所有面向公众的API。首先，客户配置API发现工具监控已知API流量中包含的识别令牌。其次，使用机器学习模型扫描已知API调用和所有HTTP请求，以识别可能未被记录的API流量。这种方法比自行报告的方法多出约30.7%的端点，表明近三分之一的API是“阴影API”，可能未得到适当的监控和保护。

要深入了解我们的API安全报告，请继续阅读。报告将包含我们阻止的威胁更新统计数据，以及我们对2024年的预测。预计企业对API安全的忽视将导致复杂性和失控增加，尤其是随着生成式AI访问的增加，API风险也会增加。我们预测2024年API业务逻辑攻击将增多，同时围绕API安全的监管会加强。

隐藏的攻击面

API与网页有何不同？API允许应用程序在后台快速轻松地检索数据或请求其他应用程序执行工作。例如，任何人都可以开发一个天气应用，无需成为气象学家，只需编写页面或移动应用的结构，并使用用户的位置请求天气API获取预报。关键在于，大多数终端用户并不知道数据是由天气API提供的，而不是应用的所有者。

API是互联网的关键基础设施，但也容易被滥用。例如，Optus在API身份验证和授权上的漏洞让一位威胁行为者获取了1000万个用户记录。政府机构已经就这些具体的API攻击发出警告。企业中的开发人员经常创建面向互联网的API，供他们自己的应用程序使用以提高运行效率，但保护这些新的公共接口是安全团队的责任。如果记录API并使其引起安全团队注意的过程不明确，它们就会变成“阴影API”，在生产环境中运行但组织毫不知情。这就是安全挑战开始出现的地方。

为了帮助客户解决这个问题，我们推出了API发现工具。通过基于机器学习的API发现和网络流量检查相结合的方式，我们创建了一份全面准确的API清单。这对我们的API网关产品至关重要，以帮助客户管理面向互联网的端点并监控API的运行状况。API网关还允许客户使用会话标识符（通常是标头或cookie）来识别API流量，这有助于在发现过程中识别特定API流量。

我们的分析显示，即使是知识丰富的客户也经常忽略其API流量中很大一部分。比较基于会话的API发现和基于机器学习的API发现，我们发现后者的端点平均多出30.7%！如果没有广泛的流量分析，您可能会漏掉几乎三分之一的API清单。

精确的速率限制可以最大程度减少遭受攻击的可能性

防止滥用，大多数API从业者会考虑实施速率限制。在您的API上实施速率限制非常有用，可以控制滥用行为并防止源服务器的意外过载。但如何知道您选择的速率限制方法是否正确呢？方法可能各不相同，但通常归结为所选择的错误代码，以及限制值本身的依据。

对于一些API，从业者会配置速率限制错误以返回HTTP 403（禁止）响应，而其他则会返回HTTP 429（请求过多）。使用HTTP 403似乎没有问题，直到您意识到其他安全工具也在用403代码响应。当您遭受攻击时，要弄清楚哪些工具负责哪些错误/阻止就可能会变得很困难。

如果使用HTTP 429来响应速率限制，攻击者会立刻知道他们已经受到速率限制，并能刚好保持在限制水平下而不被发现。如果您只是为了确保后端系统稳定而限制请求，这样做或许没问题，但它可能会向攻击者透露您的策略。此外，攻击者可以“扩展”到更多API客户端，从而成功进行超过速率限制的请求。

两种方法都各有利弊，但我们发现到目前为止，在所有4xx和5xx错误信息中，大多数API都以HTTP 429响应（接近52%）。

除了使用响应码外，速率限制规则本身的情况如何呢？实施基于IP地址的请求限制可能很有诱惑力，但我们建议您将基于会话ID的限制作为最佳实践，并仅在没有会话ID时才回退到IP地址（或IP+JA3指纹）。基于用户会话而非IP设置速率限制，将能可靠地识别您的真实用户，并最大程度减少由于共享IP空间而导致的误报。Cloudflare的高级速率限制和API网关提供容量滥用保护，通过分析每个API端点的会话流量来实施限制，并为设置每个端点的速率限制提供一键式解决方案。

为了确定您的速率限制值，Cloudflare API网关会根据您的会话请求统计数据进行计算。按照客户配置的API会话标识符，我们识别到您的API的所有会话，观察每个会话的请求分布情况，建议一个限制值。然后，我们针对这个分布上的p50、p90和p99计算统计p值（描述不同流量分组的请求率），并使用该分布的方差来产生API清单中每个端点的推荐阈值。推荐值可能与p值不一致，这是一个重要的区别，也是不单独使用p值的原因。除了推荐值，API网关还会告知用户我们对推荐值的信心。通常情况下，我们能收集到的API会话越多，我们对推荐值的信心就越足。

激活速率限制非常简单，仅需点击“创建规则”链接，API网关会自动将您的会话标识符带到高级速率限制规则创建页面，确保您的规则具有高度准确性，以有效防御攻击并最大程度减少误报（与过于宽泛的传统限制相比）。

API也会受到Web应用攻击的侵害

API也不能幸免于常见的OWASP Top 10攻击，例如SQL注入。API请求的正文内容也可能像网页表单输入或URL参数一样成为数据库输入。重要的是，确保您的Web应用程序防火墙(WAF)也保护您的API流量，以防这些类型的攻击。

实际上，当我们查看Cloudflare的WAF托管规则时，发现注入攻击是Cloudflare观察到的针对API的第二大常见威胁手段。最常见的威胁是HTTP异常。HTTP异常的例子包括方法名格式错误、标头中的空字符、非标准端口，或者POST请求的内容长度为零。以下是我们观察到针对API的其他主要威胁的统计数据：

我们没有在图中显示身份验证和授权失败。身份验证和授权失败是指API未能核实发出信息请求的实体是否确实有权限请求那些数据。另一种情况是，攻击者试图伪造凭据并将限制较少的权限插入到具有更多受限权限的现有（有效）凭据。OWASP将这些攻击分为几种不同的类型，但主要类别是对象级授权失效(BOLA)和函数级授权失效(BFLA)攻击。

BOLA/BFLA攻击得以成功的根本原因在于，源API没有对请求这些记录的身份检查数据库记录的正确所有权。追踪这些特定的攻击可能很困难，因为权限结构可能根本不存在、不充分或实施不当。您能看出这里先有鸡还是先有蛋的问题吗？如果我们知道正确的权限结构，阻止这些攻击将会很容易，但如果我们或我们的客户知道正确的权限结构或能保证其执行，那么这些攻击从一开始就不会成功。敬请期待我们未来的API网关功能发布，届时我们将利用对API流量常态的了解，自动建议安全策略，以发现并阻止BOLA/BFLA攻击。

即使您没有可用的细粒度授权策略，仍有四种方法堵塞您的API中可能存在的身份验证漏洞：

API现在更多是由人驱动的，而不是机器

如果您从智能手机出现之前、上网的人还较少的时候就开始接触技术，您可能会不禁认为API仅仅被用于机器与机器之间的通信，例如夜间的批处理作业。然而，事实完全不是那样。正如我们所讨论的，许多Web和移动应用都是由API驱动的，它们支持从身份验证到交易再到媒体文件服务的各种事务。随着人们使用这些应用，API流量也在相应增加。

我们可以通过观察节假日期间的API流量模式来展示这一点。在节假日期间，人们聚集在朋友和家人身边，花更多的时间进行面对面的社交活动，减少上网时间。我们在下面的全球API流量图表上标注了常见的节假日和促销活动。请注意，在黑色星期五和网络星期一期间，当人们在线购物时，流量会在+10%的水平左右达到高峰，但在圣诞节和元旦期间，流量出现下降。

这种模式与我们在常规HTTP流量中观察到的模式非常相似。显然，API不再仅仅是自动化过程的领域，而是与人类行为和社会趋势密切相关。

关于API安全防御的一些建议

全面的API安全并没有万能的解决方案。为了达到最佳效果，Cloudflare推荐四种策略来改善API的安全态势：

我们所说的“正面”或“负面”安全模式是什么意思？在负面模式中，安全工具寻找已知的攻击迹象并采取行动阻止这些攻击。在正面模式中，安全工具寻找已知的合法请求并只允许这些请求通过，阻止所有其他请求。API通常采取结构化方式，采用正面安全模式以达到最高级别的安全性合情合理。您也可以结合使用不同的安全模式，比如以负面模式使用WAF（Web应用程序防火墙），并以正面模式使用API模式验证。

这里有一种快速评估企业及组织API安全成熟度级别的方法：新手从编制他们的第一个API清单开始，无论多么不完整。更成熟的企业及组织将努力实现API清单的准确性和自动更新。最成熟的企业及组织会在他们的API上通过正面安全模式积极执行安全检查，贯彻执行API模式，有效身份验证，并检查滥用行为的迹象。

有关API的一些预测

最后，我们对2024年及以后有如下一些预测：

失控程度和复杂性增加：我们调查了API安全与管理领域的从业者，73%的受访者表示安全要求干扰了他们的生产力和创新。日益庞杂叠加的应用程序和不准确的清单，API的风险和复杂性将会增加。

AI越来越广泛的使用更容易带来更多API风险：生成式AI的兴起带来潜在风险，包括：AI模型的API容易受到攻击，以及开发人员发布带有缺陷、由AI编写的代码。Forrester预测，在2024年，如果没有适当的安全措施，“至少会有三起数据泄露事件将被公开归咎于不安全的AI生成代码——要么因为生成的代码本身存在安全缺陷，要么因为AI建议的依赖关系存在漏洞。”

基于业务逻辑的欺诈攻击增加：职业诈骗者像经营企业一样运作他们的诈骗活动，他们也有像其他任何业务一样的成本。我们预计攻击者将会比过去几年更频繁地针对API运行欺诈机器人。

监管加码：PCI DSS直接针对API安全的第一个版本将于2024年3月生效。请与您的审计部门查看您所在行业的具体要求，以便在新要求生效时做好准备。

如果您对完整报告感兴趣，请留意我们近期的后续更新。

Cloudflare API网关是我们的API安全解决方案，面向所有Enterprise客户提供。如果您没有订阅API网关，点击这里在Cloudflare仪表板中查看您的首次API发现评估结果并开始试用。要了解如何使用API网关保护您的流量，请点击这里查看我们的开发文档，点击这里查看我们的入门指南。

我们保护整个企业网络，帮助客户高效构建互联网规模应用，加速任何网站或互联网应用，抵御DDoS攻击，阻止黑客，并为您的Zero Trust之旅提供协助。

从任何设备访问1.1.1.1，使用我们的免费应用加速和保护您的互联网。

温馨提示：内容为网友见解，仅供参考

当前网址：https://aolonic.com/aa/3k3n3wnw35a1awaw1n.html