台灣「開放API平台」執行至今,金管會分三階段推動開放銀行(Open Banking ),今年將邁入最重要的第三階段「交易面資訊」,有效安全的API盤點議題再度成為焦點。
根據F5 CTO Office的研究報告,未來幾年產生的API數量將呈現指數級的成長。到2030年,API數量將達到5億至超過15億個。API 將成為最常受到攻擊的企業Web應用服務,並且每年攻擊事件將大幅度成長,過去我們認為透過API身份驗證足以威懾攻擊者,但現今有越來越多的數據顯示,攻擊來自看似合法的用戶,但實際上卻是惡意地通過了合法的身份驗證。
當複雜的網路犯罪、自動化程式威脅不斷發展,公司的資料、網路、應用和API面臨更高的風險。企業現階段真正關切的是API的安全問題,其中漏洞位居榜首,緊隨其後的是身份驗證問題,更令人擔憂的是很多企業經歷過敏感資料或隱私事件外洩,此類事件會造成巨大的成本和與企業聲譽的損害。
API氾濫造成的重大威脅與挑戰
造成API氾濫與安全的挑戰分別是:
第一分散API端點的激增與複雜管理, F5 SOAS報告發現, 85% 的企業在跨越多個公有雲、本地端和邊緣的分散式環境中部署應用和 API,擴大了攻擊面。
第二是被遺棄API隱藏的風險,過時與殭屍 API是目前企業最關心的問題且表示高度關注,由於API的生命週期與客戶的商業行為有著密切的關係,但卻有很多人為或外在因素導致API脫離企業安全政策的管控,例如:未依正常程序將API服務結束、開發人員不小心將測試 API 暴露到網路上、安全團隊未發現安全控制之外的API服務,這也是OWASP 將不當的庫存管理列為十大API 安全風險之一的關鍵。
第三是不易偵測的API攻擊,複雜的攻擊行為已經讓駭客「合法掩護非法」,駭客透過合法管道前潛入企業內部,伺機而動。
如何強化API防護
因此企業安全團隊要盤點API,需強化與關注以下防護機制與新模型:
- 確保公有雲、傳統資料中心、微服務三個空間的API安全基礎架構:
在多雲與微服務環境裡,安全團隊需了解基礎設施是否有足夠的能力可以 支撐全面的API攻擊防禦。
- 建構API學習識別模型:
基於AI/ML建立API模型基線和追蹤 API 行為,針對每個API資源提供錯誤、峰值、延遲和請求率指標識別異常情況。
- 識別API請求驗證和授權:
來源身份驗證及存取內容是保護 API 和實施身份驗證的關鍵。足夠能力查看所有API端點的身份驗證狀態、詳細資訊和風險評分。
- 發現PII敏感資訊檢測:
偵測和標記透過 API 公開的PII敏感資訊,包括自訂敏感資料偵測(姓名、地址、電話號碼和身分證碼)並具有隱藏敏感資料的屏蔽功能。
- 強化API盤整機制與管控:
建立完整API資源盤點學習監控與發現機制,確保安全管控範圍之API資源,並主動發現脫離安全管控範圍之影子(Shadow) API與殭屍(Zombie) API資源。
- 建立API攻擊防禦機制:
基礎設施應具備應用程式防火牆(WAF),當API內容包含惡意語法或服務器觸及CVE弱點時,應提供立即阻斷之能力。