DevOps 團隊如何防禦 API 攻擊

在過去，勒索軟體是 DevOps 團隊常常擔心的主要安全威脅。盡管現在勒索軟體攻擊仍在發生，但随着企業安全防護能力與意識增強，勒索軟體造成的安全威脅已不如從前。然而，根據 Gartner 調查顯示，API 安全漏洞在2021年增量高達 600%，逐漸成為惡意攻擊者發起攻擊的主要媒介。 DevOps 強化 API 安全性迫在眉睫。

本文将概述當今 API 安全狀态，并在擴充 DevOps 現有勒索軟體防禦技術以保護 API 方面提供一些思路和技巧。

API 的優勢

API 主要用于特定類型的應用程式、B2B 或基礎設施內建。當轉向微服務和分布式架構時，内部 API 就成為将應用程式環節結合在一起并在應用程式的元件和微元件之間傳遞資訊（有時是敏感資訊）的粘合劑。現在，釋出公共 API 已經成為所有軟體産品企業的基本操作，據統計目前公共 API 大約有 22000 個。

随着公共 API 的數量增加，其相關聯的應用程式和服務受到攻擊的風險也随之增加。越來越多的惡意攻擊者開始專注于利用 API 來擷取敏感資訊的通路權。

從勒索軟體保護到 API 保護

大部分人可能過認為保護 API 需要全新的安全工具與實踐。但實際上，緩解勒索軟體風險和減輕 API 安全風險之間存在着相似之處。DevOps 團隊可以通過拓展現有的勒索軟體防禦技術來保護 API 安全，以下是供 DevOps 團隊參考的一些政策和方法。

阻止橫向移動

與勒索軟體一樣，惡意攻擊者通過利用缺陷和漏洞橫向從端點傳播到端點，API 漏洞利用通常也橫向傳播到整個環境中。

這就意味着，雖然無法阻止所有 API （或勒索軟體）攻擊侵入邊界，但 DevOps 團隊可以采取措施阻止漏洞繼續擴大。通過盡早檢測環境中的惡意活動，DevOps 團隊可以阻止威脅的橫向傳播，避免大規模入侵。

關注資料安全

勒索軟體攻擊和 API 攻擊都專注于敏感資料。勒索軟體攻擊者通過破壞資料威脅來勒索贖金。而 API 攻擊者通過洩漏資料（或兜售資料），例如，惡意攻擊者從受感染的 Peloton 賬戶上竊取敏資訊，以及破壞 LinkedIn 的API 來竊取約7億使用者的資料，進而給企業聲譽造成嚴重負面影響。

是以，降低勒索軟體風險和 API 安全風險可以落在保護資料安全上。 通過對内部和公共 API 的功能實施強大的通路控制和分段，可以降低由于 API 安全漏洞導緻的資料洩露風險。

使用行為安全模型

當面臨 zero-day 攻擊和未知攻擊時，基于簽名的安全控制對勒索軟體和 API 攻擊都不起作用。盡管企業已經竭盡全力去強化安全環境，但還是無法避免漏洞繞過防禦的情況發生。

是以部署基于行為的安全模型時防範勒索軟體和 API 攻擊的關鍵。行為安全模型能夠檢測環境中的異常活動，例如異常類型的請求或異常的請求模式。通過對行為進行模組化和基線化，

這就是為什麼部署基于行為的安全模型是防範勒索軟體和 API 攻擊的關鍵。行為安全模型檢測環境中的異常活動，例如異常類型的請求或奇怪的請求模式。通過對行為進行模組化和基線化，并根據您的模型檢測異常，您可以防止攻擊一旦開始就蔓延開來。

不要依賴基于外圍的防禦

企業需要明白的是，保護系統環境外圍并不是針對勒索軟體或 API 攻擊的萬無一失的防禦措施。相反，需要在所有端點、應用程式、服務等之間配置設定保護。

如之前所說，我們無法百分之百保證攻擊者無法進入企業的系統。防禦成功很大程度上取決于企業是否有能力讓惡意攻擊者難以将他們的攻擊從小規模突破更新為影響廣泛的攻擊。

同樣，沒有什麼可以保證攻擊者不會進入。你的防禦成功很大程度上取決于你是否有能力讓他們難以将他們的攻擊從小規模突破更新為影響廣泛的攻擊的資源。

關注表面以外的防護

勒索軟體和 API 攻擊的相似之處在于，這兩者通常都涉及旨在逃避常見安全監控工具的攻擊方法。

比如，攻擊者可能會嘗試利用端口 80 或 443（預設 HTTP/HTTPS 端口），這些端口幾乎總在防火牆上打開着。是以，DevOps 團隊必須避免僅依賴标準端口或加密來保護 API 流量的方式。相反，必須要對有效負載深入研究，然後解析和了解協定。監控和收集來自多個來源的資料，然後對其進行關聯和分析，以更深入地了解環境中實際發生的情況。

結 論

勒索軟體攻擊和 API 安全攻擊在某些方面有着根本的不同，它們涉及對不同協定的利用，且攻擊者的目标通常有所不同。但就攻擊者的操作方式、他們想要竊取的内容（比如敏感資訊和資料）以及基于邊界的防禦、勒索軟體攻擊和 API 攻擊的限制而言，這兩者非常相似。

是以開發人員和 DevOps 團隊無需重新考慮他們的整個安全政策來應對 API 攻擊激增。相反，通過現有的勒索軟體防禦技術，DevOps 團隊可以在此基礎上進行拓展，以保護 API 安全。