Skip to main content

工業

API 安全性可針對網路防護填補關鍵漏洞

API安全性

每當您以數位方式存取銀行帳戶、進行線上購物或是登入雲端應用程式時,即代表您正在使用應用程式開發介面 (API)。API 在應用程式中扮演閘道的角色,也是數位連線的連接點。然而,卻很少人真正了解 API,安全性也相對不足。

每個組織平均會使用數百、甚至數千個 API,但往往 CISO、CIO 和 CTO 並沒有確實掌握準確的清單目錄。這就是為什麼 API 已成為常見的網路攻擊媒介。API 涉及的問題包括無法準確實施驗證、配置錯誤以及缺乏監控。

維護 API 安全性是一大挑戰,並在一定程度上取決於網路安全解決方案的應用方式。API 安全性管理公司 Noname 策略聯盟技術總監 Ryan B 表示,大多數解決方案均採用「盲目」的方式來保護運算環境中的特定處,例如端點、伺服器和雲端應用程式。「如此一來,只會偵測到當下顯而易見的漏洞。」

結果:將導致 IT 環境中出現巨大的安全漏洞,波及公司內部資產,並對於堆疊不斷增加的雲端型和軟體即服務 (SaaS) 應用程式而言,將會影響其連線能力。Noname 藉由 AI 和 ML 演算法分析流量,識別並封鎖惡意行為,保護雲端、內部部署或兩者之中的資產,以此填補安全性漏洞。Ryan 表示:「我們公司專為解決 API 問題而生。」

Noname 選擇從企業的角度(而非安全性廠商或雲端供應商)來應對 API 挑戰,全面檢視整體環境,進而保護所有 API。

Noname 全球策略聯盟副總裁 Peter Cutler 表示:「我們發現市面上有許多解決方案無法識別 API 相關的惡意活動。等到發現時卻為時已晚。因此,Noname 整合推出立即可用的網路安全解決方案,例如 SIEM(安全資訊與事件管理)和端點防護。」

運用 AI 和 ML 揪出 API 漏洞

根據維護應用程式安全性的開放原始碼基金會 OWASP,最常見的 API 漏洞包括:

  • 「無效的對象層級授權」是指使用者可根據其角色存取資料,而不必經過驗證確認其是否有權存取資料
  • 「無效驗證」是指攻擊者入侵認證資料的情形,例如密碼、工作階段權杖以及使用者帳戶資訊
  • 「無效的對象屬性層級授權」是指使用者存取他人資料的情形

通常由惡意機器人進行此類攻擊。人類無法對抗機器人快速且大量的攻擊行為,因此需要 AI 和 ML 的協助。

Ryan B 表示:「這是一個尚未解決的超人類問題。您以為能運用過去所雇用的所有人員、購買的所有技術來妥善解決這個問題。您購買了防火牆、聘請了資安顧問,並進行滲透測試。相不相信?卻不足以對抗機器人攻擊。」

Noname 運用機器人來對抗機器人。在客戶環境中進行第一週實作時,Noname API 安全平台處於學習模式,會實際觀察那些使用 API 的應用程式中的流量模式。平台會記憶 API 規格、要求與回應架構,並分析通訊參數,包括支付卡資料等機密資訊。

第二週起,安全平台會利用第一週所獲得的基礎知識來識別偏離正常模式的活動。接著 AI 會判定異常之處是否為惡意活動。系統會標記並封鎖可疑活動。Noname 會針對流程給予可信度分數。Ryan B 表示,其中至少 80% 根據機器學習推斷特定動作為惡意行為,並可追蹤攻擊者及其已知位置。

為讓 IT 防禦功能保持最新狀態,Noname 採用可模擬網路攻擊的主動測試技術。每當客戶變更環境時,系統都會進行這項執行階段測試,檢查最新軟體版本、端點或其他元件是否受到妥善保護。這麼做可以防止將新的漏洞帶入環境。

Cutler 表示:「若沒有執行主動測試,則代表組織需要在推出新的生產 API 時雙手合十祈禱 API 閘道或網路應用程式防火牆 (WAF) 以及其他安全層級能識別漏洞並保護系統。這樣風險非常高,且肯定不是一項好的策略。」

API 安全性意識需要龐大的運算能力支撐

當然,ML 和 AI 也會持續在 API 安全性方面扮演核心角色。隨著流量增長,ML 和 AI 需要極高的處理效能。Ryan B 表示:「一開始我們使用八個 CPU,每秒約有 3,000 條訊息。之後,我們的機器訓練引擎開始需要更多 CPU 來處理 API 流量,每秒增加至 7,000、10,000、20,000 條訊息。」

Noname 與 Intel 密切合作,能有效提供執行 AI 和 ML 所需的效能。該公司測試第 5 代 Intel® Xeon® 處理器,並獲得更好的效能。同時利用 Intel 嵌入式加密技術,防止惡意行為者侵害 Noname 技術。

Noname 展望未來,期盼使用者能更深入瞭解 API。相關的培訓和教育是一切根本,也是該公司的使命之一。

Ryan B 表示:「邁入 2024 年之際,我相信使用者將會更加嚴謹看待安全性問題。他們將能善加利用這項創新技術,購置征戰利器,運用前所未有的科技保護系統。」
 

本文編輯 insight.tech 編輯總監 Georganne Benesch

作者簡介

Pedro Pereira has covered technology for a quarter century. He has freelanced for some of the biggest names in IT publishing and an extensive list of marketing agencies and technology vendors. He was a pioneer in covering managed services and cloud computing, and currently writes about cybersecurity, IoT, cloud, and space. He holds a degree in Journalism from UMass/Amherst.

Profile Photo of Pedro Pereira