API已成为一种新的基础设施!
新基础设施必然带来新的安全挑战,并且让已经存在的安全问题变得更加复杂。根据Akamai的数据,在针对金融服务业发起的撞库攻击中,高达75%的攻击直接以API为目标。
以用户API业务防护为导向,雷池(SafeLine)下一代Web应用防火墙,兼具BOT管理与API防护一体,对API进行全生命周期管理,输出API测绘、API防护、API高级威胁分析、API合规四项能力,助力企业客户构建高效的API智能防护体系,动态监控用户异常访问与行为,有效防护API越权,降低因API滥用,敏感数据泄漏而造成的损失。
“4 Essential Tools for Protecting APIs and Web Applications” 报告指出,Web应用防火墙(WAF)成为API安全防护首要选择:
· WAF可以更好理解应用程序逻辑以及Web应用程序中存在的元素,例如URL,参数甚至使用的cookie;
· 通过监视应用程序的使用情况和行为以及进行深入检查, WAF可以为使用中的每个应用程序建立正常行为的基准;
· 当出现异常时, WAF可以触发操作来保护应用程序,无论是在数据中心还是在云中;
· WAF可以防御恶意请求来源、DDoS攻击、针对API和Web应用程序的复杂威胁,包括SQL注入、 跨站脚本攻击(Cross-site scripting,XSS)、缓冲区溢出、 cookie泄露等;
· WAF同时集成BOT管理和API防护,可检查签名,例如客户端是否发生可疑行为。
以BOT管理为例
BOT管理与API防护注定是“天生一对”。API逐渐成为企业核心对外接口,使得BOT流量大幅提升。而在API攻击中,BOT又是主要来源。据报告统计显示:在针对API业务发起的各类攻击中,恶意爬虫(BOT)是最主要的攻击方式,占整体攻击数量的90.6%。
API攻击“罪魁祸首”:恶意爬虫
当利用BOT通过合法帐户进行API滥用已成为API攻击的主流时,传统API网关却日益疲软。此类攻击多以合法身份登录,模拟正常操作,以多源低频请求为主,提供身份认证、权限管控、速率限制、请求内容校验等安全机制的传统API网关,在遇到此类情况时,几乎无用武之地;加之部署与维护成本过高,用户不免会皱下眉头。此时兼具BOT管理与API防护的硬核WAF,是用户心头好。
针对客户常见的API业务防护困扰,雷池(SafeLine)提供专项治理。
业务访问逻辑建模,三步解决越权与滥用
API越权行为与滥用导致数据频频被窃,金融资深安全专家指出业务逻辑安全至关重要。雷池(SafeLine)从客户业务逻辑出发,关联业务和从属API,建立对应关系,当检测到某条API被攻击时,迅速关联到业务,直接对业务提出告警,解决业务逻辑导向的越权行为与滥用防护。
具体来说有3步:
Step1: 业务建模和行为与流量合规性监控, 记录API的调用权限与滥用攻击。
Step2: 结合访问规律和访问逻辑, 分析业务相关API调用的越权与滥用行为。
Step3:对业务所属API流量进行流量基线建立,并对流量异常进行分析,根源上对针对业务的攻击进行检测、预警与防护。
智学习建立流量画像,不放过任何异常访问
雷池(SafeLine)采用动态基线和预测分析技术分析异常访问行为,构建流量画像,精准识别操作正常但请求异常的攻击行为,即从正常行为中检测出异常流量。
进一步,用户可以根据需求选择集群或单网关节点的流量控制,配置 API 的流量阈值,如:每秒、每分、每小时的请求次数限制,当流量超过阈值,新来的请求会被网关拦截,确保业务正常运行。
随着频率访问控制和告警策略等功能逐步迭代,雷池(SafeLine)业务场景的解决方案越来越成熟,即将满足更多特定业务需求,比如流量控制策略更细粒度、报表统计维度更丰富、API调用明细更精确等。
动态基线技术
雷池(SafeLine)采用周期性基线分析的方法。周期性基线,通常是一个单周期数据库轮廓线,根据历史数据计算得出。这条曲线由若干数据轮廓点组成,每个轮廓点代表一个采样时点。一个新的实际测量值如果没有超过基线范围,则通过加权平均算法更新旧的轮廓值。如果新的实际测量值超过基线范围则丢弃,不参与新轮廓值计算。如此往复循环,基线始终处于动态变化中。
预测分析技术
雷池(SafeLine)采用基于时间窗置信区间的检测模型和方法,保障在实际运行中不断自我调整和逼近,自动剔除历史时间窗内的异常历史数据,实现历史时间窗数据与网络实际正常流量行为特征的高度吻合,从而提高了对异常行为报警的准确性。
领先检测能力,下沉至API底层细节
作为基于智能算法的下一代WAF,雷池(SafeLine)已将攻击拦截性能拉升至全球顶尖水平,当优异的检测能力带进API安全领域,雷池(SafeLine)能通过智能语义分析引擎持续检测API流量中的威胁,针对异常API请求进行阻拦、限速、欺骗或敏感数据打码等相应动作,保护隐藏在 API 中的 SQLi、命令注入等攻击所带来的损失。
值得一提的是,基于FVM引擎,雷池(SafeLine)可以快速引入对非传统HTTP/HTTPS协议的解析,精细化控制不同风格的API,同时在API层面自由组装和编排雷池(SafeLine)的核心检测能力,让API的防护能力多元化和立体化。
BOT管理与API防护统一解决
针对多种利用BOT进行攻击的恶意场景,雷池(SafeLine)为客户提供可定制的API防护模型,BOT管理与API防护双管齐下。雷池(SafeLine)在人机验证能力基础上增加包括「动态混淆+动态令牌」在内的动态防护能力,在不影响业务的前提下,对API流量进行有效清洗,排除BOT访问对资源的抢占和消耗,消除风险的同时,节约客户成本和降低业务损失。
传奇之所以为传奇,必有绝技
雷池(SafeLine)不让黑客逾越半步
API防护功能刚起步,不止步
候君来测
发表评论
您还未登录,请先登录。
登录