隨著數位轉型加速,API(應用程式介面)已成為現代企業數位基礎架構的核心組件。然而,API 數量的爆炸性成長也帶來前所未有的安全挑戰,特別是 BOLA(Broken Object Level Authorization,物件層級授權中斷)攻擊,已成為企業面臨的重大威脅。
Thales 全球副總裁暨應用安全總經理 Tim Chang 在近期的媒體活動中指出:「市場持續成長的原因在於技術環境的快速變遷,特別是 AI 技術正在重新定義整個市場和技術格局。在這種重大變革時期,攻擊者往往會趁機發動攻擊,因為他們深知企業組織通常無法及時建立相應的防護能力。」
API 安全:被忽視的關鍵戰場
在現代應用程式架構中,API 扮演著越來越重要的角色。它們連接著不同的系統、服務和資料庫,使得數據交換和功能整合成為可能。然而,正是這種廣泛的連接性,讓 API 成為攻擊者眼中的理想目標。
Tim Chang 觀察到:「儘管應用程式安全在業界已經存在一段時間,但它仍然是一個非常好的市場。」他特別強調 API 安全領域正以 30% 的年成長率快速擴張,這反映了企業對於 API 防護需求的急迫性。
更令人擔憂的是,許多企業對於自身 API 的數量和風險狀況缺乏充分了解。根據業界觀察,企業實際擁有的 API 數量往往是其認知數量的五倍之多。
這種「API 盲點」問題的根源在於現代開發環境的複雜性。開發人員在快速迭代的壓力下,經常在未經充分安全審查的情況下部署 API。同時,微服務架構和雲端原生應用的普及,進一步增加了 API 生態系統的複雜度。
BOLA 攻擊:API 安全的頭號威脅
在 OWASP 發布的 API 安全十大威脅清單中,BOLA 攻擊位居首位,這並非偶然。
BOLA 攻擊的核心問題在於 API 未能正確驗證使用者是否有權存取特定的資料物件,讓攻擊者能夠透過操縱請求參數來存取不屬於他們的敏感資訊。
BOLA 攻擊的典型情境是:當使用者透過 API 請求存取資料時,系統會分配一個識別符(如 token 或 ID)。攻擊者會攔截這個識別符,並嘗試修改相關參數,例如將使用者 ID 從「123」改為「124」,藉此存取其他使用者的資料。
這種攻擊之所以特別危險,是因為它往往不會觸發傳統的安全警報。從表面上看,這些請求似乎是合法的 API 調用,只是參數略有不同。攻擊者可以系統性地枚舉不同的物件 ID,逐步蒐集大量敏感資料。
業界已經出現多起嚴重的 BOLA 攻擊事件。在著名的 Black Hat 資安會議上,安全研究人員就曾展示了一起針對手機應用程式 API 的 BOLA 攻擊,攻擊者成功存取了大量使用者的個人資料。
這類攻擊的影響往往是災難性的。企業不僅面臨資料外洩的直接損失,還可能遭受法規罰款、客戶信任流失,以及長期的品牌聲譽損害。更嚴重的是,
BOLA 攻擊往往具有持續性,攻擊者可能在相當長的時間內持續竊取資料而不被發現。
行為分析:對抗 BOLA 的關鍵
傳統的 API 安全方法主要依賴於規則和簽名檢測,但這種方法對於 BOLA 攻擊往往無效。因為 BOLA 攻擊使用的是合法的 API 調用,只是存取了不當的資料物件。
有效的 BOLA 防護需要深入分析使用者的行為模式。系統需要學習正常的 API 使用模式,識別異常的存取嘗試,並能夠區分合法的業務需求和惡意的資料竊取行為。
這種行為分析方法需要考慮多個維度,包括使用者的歷史行為、存取時間模式、資料請求的頻率和類型等。只有透過綜合分析這些因素,才能有效識別潛在的 BOLA 攻擊。
AI 時代的新挑戰
人工智慧技術的快速發展為 API 安全帶來了新的複雜性。一方面,AI 工具使得創建惡意機器人和自動化攻擊變得更加容易;另一方面,企業對 AI 服務的依賴也創造了新的攻擊面。
根據最新的網路流量分析,目前超過 51% 的網路流量來自自動化系統。這些 AI 驅動的機器人每分鐘可以訪問數百個網站,遠超人類的訪問速度。這種流量模式的根本性改變,讓企業在區分合法和惡意活動方面面臨前所未有的挑戰。
為了應對 AI 帶來的新威脅,OWASP 組織發布了專門針對大型語言模型和生成式 AI 的十大攻擊清單。
值得注意的是,這十大威脅中約有六項可以透過傳統的 Web 應用程式和 API 防護(WAAP)技術來解決,其餘則需要身分認證和資料安全方面的額外措施。這表明 AI 安全威脅的複雜性,需要多層次的防護策略。
此外,在 AI 時代,企業面臨一個矛盾的處境:一方面需要阻擋惡意的 AI 機器人,另一方面又不能完全封鎖所有自動化存取,否則可能會影響搜尋引擎索引和其他合法的自動化服務。
這種平衡特別體現在內容網站上。許多亞洲的內容網站發現,AI 機器人大量抓取其內容用於模型訓練,不僅增加了伺服器負載,還可能涉及版權問題。但如果完全阻擋這些機器人,網站可能會失去在 AI 搜尋結果中的曝光機會。
解決這個問題需要更精細的流量管理策略,包括限制存取頻率、優先處理人類使用者請求,以及與合法的 AI 服務提供商建立正式的存取協議。
解決方案:綜合性防護策略
面對日益複雜的 API 安全威脅,企業需要採用綜合性的防護策略。以 Thales 旗下的 Imperva 為例,該公司提出了三步驟的 API 安全方法論。
第一步:全面發現
有效的 API 發現需要能夠識別所有正在運行的 API,包括那些可能被遺忘或未記錄的「影子 API」。現代的發現工具利用流量分析和機器學習技術,能夠自動識別和分類不同類型的 API。
第二步:風險評估
Tim Chang 解釋:「當你知道你有哪些 API 時,現在你需要評估你的風險。我們的發現會顯示你在哪裡有敏感資料、正在發生的攻擊類型,以及你的 API 是否存在結構性問題或漏洞。」
風險評估階段需要分析每個 API 處理的資料類型、存取權限設定、以及潛在的安全弱點。這個過程理想上應該是自動化的,能夠即時更新風險評估結果。
第三步:即時防護
最後階段涉及針對不同類型的攻擊實施防護措施。Tim Chang 指出:「攻擊有三種變化。第一種是技術攻擊,第二種是容量型攻擊,第三種是行為型攻擊,這是最複雜的一種, BOLA 攻擊就是其中之一。」
對於 BOLA 攻擊的防護,Imperva Application Security 採用了混合方法,結合行為分析和規則檢測。Tim Chang 表示:「要進行相關處理,你必須偵測使用者是誰,他需要什麼資料。所以你必須在行為層面處理才能使其有效。」
該解決方案提供統一的管理平台,整合 API 探索、風險評估、檢測和防護功能。在技術實現上,系統能夠即時分析 API 請求模式,對異常行為進行評分,並自動執行防護措施,包括阻擋惡意流量和生成安全事件報告。
Tim Chang 強調:「API 安全已不再是選項,而是維護業務持續運作和信任的基礎。」隨著數位化轉型的深入,API 安全將成為企業資訊安全策略中不可或缺的一環。