操纵人工智能的安全API
发布时间:2021-06-10 21:05:16 所属栏目:大数据 来源:互联网
导读:企业的数字转型通常是基于API(应用程序编程接口)之上的,API可驱动新的运营模型,提供对业务逻辑应用程序和数据的直接访问。 虽然这种访问对于企业的员工、合作伙伴、客户来说非常宝贵,但它也使API成为黑客和僵尸网络具有吸引力的目标。随着越来越多的攻击
|
企业的数字转型通常是基于API(应用程序编程接口)之上的,API可驱动新的运营模型,提供对业务逻辑应用程序和数据的直接访问。
虽然这种访问对于企业的员工、合作伙伴、客户来说非常宝贵,但它也使API成为黑客和僵尸网络具有吸引力的目标。随着越来越多的攻击和API漏洞的增加,扩展安全性变得越来越重要。
现有的解决方案(例如访问控制、速率限制等)提供基本的保护,但不足以完全阻止黑客的网络攻击。如今的安全团队需要识别并响应动态变化的攻击,这些攻击旨在利用单个API的独特漏洞。企业可以采用人工智能来检测API和未暴露数据的异常行为,自动阻止对整个API基础设施的攻击,设计自学习解决方案是安全的未来。这种方法为IT基础设施提供了深入的可视性,并使安全团队能够在识别恶意行为时立即采取行动。
API数据泄露
2019年,澳大利亚最大的房地产估价服务商LandMark White公司发生API数据泄露事件,导致房产估价内容和客户信息泄露。在这种情况下,最初用于企业内部使用的API最终可以从外部访问。
这些漏洞导致了不同程度的数据泄露行为,其中包括账户接管、私人信息和照片被盗,以及信用卡号码被他人提取。在此次数据泄露事件之后,LandMark White公司的声誉受到严重影响,而其很多客户和银行合作伙伴退出,并争相与其他厂商合作。
数据泄露事件通常需要数周或数月才能检测到,其他类似的违规行为几乎需要一年时间才能完全解决。还有许多公司现在面临这种情况。要了解如何防范这些威胁,人们必须首先了解API所带来的潜在漏洞。
API漏洞
许多企业目前依靠不充分的安全措施来保护其API。虽然API管理工具提供了一组重要的安全功能,其中包括身份验证和速率限制,但这些做法通常无法阻止专门为违反API及其提供访问权限的数据和系统而构建的攻击。
不完整和遗漏的验证
缺少权利检查是最近一系列API违规中频繁出现的漏洞模式。这些缺失的权利检查会在生产API中暴露漏洞。在某些情况下,完全缺乏访问控制已经使API完全开放,使得具有基本技能的不良行为者可以进行恶意攻击。
在Facebook、USPS和Verizon/LocationSmart公司的数据泄露案例中,黑客使用有效账户对API行为进行反向工程,以识别多个漏洞,其漏洞可以在没有正确凭据检查的情况下提供对来自其他账户的数据的访问,同时看起来像普通用户。这种技术有可能提供对大量账户的访问,并用于破坏银行和保险公司的账户。
使用调用API的应用程序时,不会暴露此类漏洞。通过跳过客户端应用程序(例如,Web应用程序)并直接调用API来观察数据和控制流,可以进行恶意访问。客户端应用程序极大地限制了通过用户界面限制使用API的方式。依赖应用程序可能会产生安全盲点,尤其是在API层的应用程序之外未执行测试时。
除了访问控制之外,API安全性还必须包括内容验证。在2019年初发现(并修补)的Kubernetes的API服务器的情况下,这种缺乏安全性是显而易见的。被授权向Kubernetes API服务器发出补丁请求的用户也可能发送过量消耗资源的特定补丁,这种偶然(或故意)的行为导致对API服务器的拒绝服务(DoS)攻击。
利用此类漏洞可以极大地破坏服务。如果传入的JSON补丁包含10,000多个操作,则Kubernetes API服务器修复包括返回413类型的错误。这种类型的内容验证很容易在API网关中配置,但它经常被遗漏,因为这样做需要超越自动生成的JSON模式,这些模式只定义简单的规则类型,需要人工干预才能识别特定验证的需要,并确保正确的配置和测试。
扩散和缺乏可见性
API的扩散只会增加其漏洞。API的部署速度比以往任何时候都要快,而且由许多不同的团队负责。在某些情况下,持续不断的创新、减少摩擦、创造新收入流的压力会导致开放API可能产生意外的影响。
因此,许多利益相关者报告其组织部署的所有API缺乏可见性,这并不奇怪。事实上,许多API相关的漏洞在几个月有时是几年之后才被发现,这进一步说明了对整体API流量缺乏可见性。
此外,一些API并不是公开的,可能只被视为总体项目的实施细节。这使他们从安全从业者的角度隐藏起来,进而导致缺乏具体的安全考虑。在其他情况下,来自组织不同部分的API可能会利用异构平台和不一致的安全策略。
无论如何,这些API可能与公共API一样容易受到攻击,因为它们同样容易被黑客通过反向工程进行攻击。为弥补这些差距,人们需要清楚地了解需要保护的内容。而对API流量的深入洞察将为改善网络弹性提供基础。
 (编辑:黔东南站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
