首页 > 传媒 > 关键词  > API安全最新资讯  > 正文

API攻击盛行,如何基于业务基线进行防护

2024-06-19 09:20 · 稿源: 站长之家用户

企业的上云和数字化转型,将越来越多的业务运行于网络之上。为适应敏捷开发等新型应用架构,API的使用数量更加普遍并持续增长。企业的应用开发越来越依赖API之间的相互调用,同时通过API传递的数据量也随之迅速增长。

不可避免地,暴露于网络中的企业应用API亦成为恶意攻击者的目标。近年来,与API攻击相关的数据泄露事件屡见不鲜,其中不乏企业重要业务数据甚至个人身份数据等敏感信息,给企业带来极大的数据安全威胁。

API安全不容乐观

虽然我们已经发现并且感知到API安全风险,但又不得不面对的是,事实已证明传统的安全技术并不能有效地阻止API攻击,企业需要在全新的安全防护方法。

据Gartner的一份预测报告,2022年起API已成为网络攻击者利用最频繁的媒介载体之一,而通过攻击API可以非授权使用企业的各类应用数据,并且由API安全问题引起的数据泄露风险在2024年将翻倍。

频出的API攻击事件不断向我们证明, API治理不当导致的攻击、欺诈以及数据泄露风险正在对企业的构成新的安全挑战。同时,在AI技术的发展,被滥用的AI让攻击手段越来越自动化甚至智能化, API攻击更快、更准确,API面临的威胁越来越复杂化。

Akamai最 新发布的《潜伏在阴影之中:攻击趋势揭示了 API 威胁》报告证实,API在Web攻击里面所占的比例越来越高,2023年在所有的Web攻击类型里面针对API的攻击占了将近30%。

Akamai北亚区技术总监刘烨表示,这个比例可能还会继续增 高,因为越来越多的流量也会变成这种API的流量,比如很多原生的手机应用跟数据中心之间都会通过API做数据传输。

针对于API的攻击方法和攻击向量非常多样化,这对于企业来说要保护应用API的难度大大增加,因为要考虑的方面非常多,刘烨解释道:API防御可能会面临更大的挑战。企业要找到业务逻辑可能会出现的漏洞,然后去降低风险,降低企业遭受攻击所造成的损失。

基于业务场景攻防

正如刘烨所述,与传统Web应用的防护不同,API的安全防护要求更为广泛,往往是深入到业务逻辑中,并且涉及到多个环节,对任何环节的监测不足都会影响到整体的安全防护效果。

企业如何着手做API防护?刘烨特别建议要重点考虑三个方面的问题。

第 一,可视性。企业应该给予API足够的可视性。比如对于一些API接口的开发过程,开发人员通过这个接口在开发、测试、上线的时候会更容易取得某些数据,但是当开发者离开以后,这些接口是不是仍然存在,其实不一定有完整的审计,也不一定有安全开发合规性流程。这种情况下,当这些API推到互联网以后就可能不具备足够的可视性。

第二,漏洞风险。企业要了解上线的应用里,易遭受攻击的风险点到底有哪些,会不会出现一些已知的漏洞等等。这就要求企业要遵循最 佳实践去开发,最 大化减少漏洞的出现,从而减少风险点。

第三,业务逻辑。API攻击的变化多样不是针对于应用本身的,而是针对业务逻辑的。因为这种针对业务逻辑的攻击,可能获取更具价值的东西。所以在业务逻辑方面,企业需要建立在不同业务场景下产生的基线,然后确定哪些是异常情况。

刘烨继续解释道:所有的业务场景可以分为几个部分,首先是API的隐患,如果是注入类型的隐患,它与业务场景关系不大,但与API的开发技术相关。当使用标准技术或实施方法,遵循软件开发流程时,我们应确保在这个过程中减少漏洞。

跟业务场景相关隐患的是从技术上看是没有问题的、合乎逻辑的,但是从业务上来看就是有问题的,比如过度收集用户数据可能与业务场景相关。

不同业务场景有很多不同防护重点。例如,在金融行业,对信用卡使用和交易安全防护的要求可能与社交媒体完全不同。在社交媒体中,用户信息可能是防护重点,而在金融行业中,账户资金安全可能更为重要。因此,在不同业务场景下,按照业务逻辑,实施有效的保护措施非常重要。

对企业更重要的是根据业务场景建立自己的模型和基线,然后判断是否存在针对特定业务场景的攻击。因此,可以分为两部分:首先是针对传统注入类型攻击的防护,这与API开发技术密切相关。通过开发最 佳实践,安全产品和服务,可以大大帮助用户解决安全隐患。

对于基于漏洞的渗透,刘烨认为可以通过这六步方法,帮助用户提高API安全防护水平,减少潜在漏洞对系统的渗透。

首先,记录API中的所有相关日志。例如,Akamai API Security产品利用大量离线分析和基于API访问日志的建模来建立基准。

第二,是要了解所有API的端点,这被称为“API发现”,这一点非常重要。许多API的问题可能源于在开发过程中留下的接口,这些接口可能仅供内部调用或用于部门间协作。

第三,是进行风险审计,需要确定哪些记录是敏感的,并建立审计方案来审查这些风险并建立基线。

第四,建立基线后进行行为检测,当用户违反了应用逻辑时,应能识别出该用户。

第五,响应,一旦识别出问题,需要给出防护措施的指导,如限制或中断用户访问。

第六,事后分析,需要调整模型以应对可能的风险和恶意攻击,这有助于优化整体策略。

API的安全防护已成为企业数据安全的重要关注点,如何确保API交互过程中保护数据数据的完整性、机密性和可用性,将会是未来一段时间内企业与专业安全提供商要共同面对的问题。

推广

特别声明:以上内容(如有图片或视频亦包括在内)均为站长传媒平台用户上传并发布,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。站长之家将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。任何单位或个人认为本页面内容可能涉嫌侵犯其知识产权或存在不实内容时,可及时向站长之家提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明(点击查看反馈联系地址)。本网站在收到上述法律文件后,将会依法依规核实信息,沟通删除相关内容或断开相关链接。

  • 相关推荐
  • 大家在看
  • Animate Old Photos:用AI技术让老照片动起来

    Animate Old Photos是一个利用Kling AI技术将老照片转化为生动视频的网站。它通过AI技术使旧时记忆重新焕发活力,为用户带来更加生动和动态的体验。该产品目前处于beta测试阶段,免费提供服务,但随着高级功能的增加,未来可能会推出付费计划。

  • Discovery Outcomes:AI驱动的产品管理操作系统

    Discovery Outcomes是一个AI驱动的产品管理操作系统,旨在简化和增强产品管理流程。它通过集成工具、促进协作,并利用AI提高工作效率。该平台通过统一平台覆盖从设定目标到功能交付的所有内容,解决工具跳跃、数据冗余和信息孤岛等常见挑战。Discovery Outcomes通过AI驱动的效率提升,旨在提高上市时间、生产力、创新率、交付物质量、适应性、灵活性、跨功能协作和投资回报率。

  • Revent.ai:使用AI快速创建专业演示文稿

    Revent.ai 是一个专注于利用人工智能技术帮助用户快速创建专业演示文稿的平台。其核心功能包括演示文稿自动化和设计服务,旨在通过简化设计流程,让用户能够专注于内容的传达,从而提升演示文稿的质量和效率。Revent.ai 的使命是让技术更好地服务于人,强调以人为本,确保质量和价值始终贯穿于产品之中。

  • AI Memory:智能记忆助手,随时随地回忆重要信息

    Flot.ai的AI Memory是一个基于人工智能的个人知识库管理工具,通过AI Memory功能,帮助用户轻松构建和回忆个人知识库。它允许用户通过简单的点击操作,从任何应用程序或网站保存文本到AI记忆中,并随时通过与AI对话来回忆这些信息。产品强调了其无需组织、易于访问和使用的特点,以及对隐私的高度重视,符合GDPR标准。

  • AI数学解题器:智能解决数学问题,提升学习效率

    AI数学解题器是由数学AI和数学GPT模型(如GPT-4o)驱动的在线工具,旨在提供广泛的数学问题解决方案。它利用先进的人工智能技术,为学生和教师提供详尽的分步解答,增强了对数学概念的理解和解题能力。该产品背景是数学学习中对高效解题工具的需求,定位于免费提供高质量的教育支持。

  • CohesiveAI:AI驱动的数据采集与分析工具

    Cohesive是一款集成在Google Sheets中的AI工具,它允许用户通过AI技术进行数据的批量分析、个性化生成以及网页抓取,特别适用于需要大规模数据采集和分析的商业场景。它支持在Google Sheets内直接进行操作,无需学习新平台,简化了数据导入和导出的流程。Cohesive还提供了与ZeroBounce的集成,帮助用户找到或验证电子邮件地址。

  • AI Renamer:智能文件重命名工具

    ai-renamer 是一个基于 Node.js 的命令行工具,利用 Ollama 和 LM Studio 模型(如 Llava, Gemma, Llama 等)智能地根据文件内容重命名文件。它支持视频、图片等多种文件类型,并且可以通过自定义参数来优化重命名过程。该工具使用户能够自动化文件管理,提高效率,尤其适合需要批量处理文件名的开发者和内容创作者。

  • EasyMedia:AI驱动,快速将YouTube视频转化为社交媒体内容。

    EasyMedia是一个利用人工智能技术,帮助用户将YouTube视频内容快速转化为适合不同社交媒体平台的帖子、推文等。它支持Facebook、Instagram、Twitter、LinkedIn等多个平台,能够根据平台特点自动调整内容格式,提高内容的吸引力和传播力。产品背景在于帮助用户节省内容创作时间,同时增加其在数字世界中的影响力。

  • Kuluko:将想法变成有声书

    Kuluko是一款AI驱动的有声书生成器,它允许用户通过简单的提示或个性化的设置来创作属于自己的有声书。它提供了两种模式:简易模式和高级模式,以满足不同用户的需求。简易模式下,用户只需输入一个提示,AI即可生成完整的小说。高级模式则允许用户自定义故事的各个方面,包括角色、类型、背景、故事时间、叙述者声音等。Kuluko将故事转化为长达4小时的有声书,用户可以立即开始收听。此外,Kuluko还具有个人和公共图书馆功能,用户可以选择私密享受或与他人分享。

  • fastn:无代码AI驱动的集成平台

    fastn是一个无代码、AI驱动的集成平台,旨在帮助开发者通过单一、统一的API连接和编排多个数据源。它通过AI代理创建API,支持即时API组合,无需编码即可实现数据流的连接。fastn的主要优点包括降低成本、加速开发和上市时间、提高可靠性和安全性。它通过实时数据编排、统一数据访问和监控与故障排除等功能,帮助企业构建互联生态系统。

  • Wasps:AI代码审查工具,快速理解代码库并修复问题。

    Wasps是一个集成在VSCode中的AI代码审查插件,通过深度分析和理解代码库,能够快速识别并修复代码中的错误和漏洞。它为开发者提供即时反馈,推荐潜在问题和改进建议,帮助提高代码质量和开发效率。

  • LLM Optimize:专业网站审计,提升AI推荐排名

    LLM Optimize 是一套工具,旨在帮助用户优化网站,使其在AI聊天机器人和生成引擎(如ChatGPT和Google的AI Overview)中排名更高。该工具通过专业的网站审计,提供可操作的建议,帮助用户在这些生成引擎中获得更好的展示效果。其重要性在于,随着AI技术的不断发展,传统的SEO策略正在逐渐被LLM(Large Language Models,大型语言模型)优化所取代。LLM Optimize通过分析网站内容和竞争对手的策略,提供定制化的优化方案,帮助用户在AI驱动的搜索结果中获得更高的曝光率。

  • Meme Search:通过文本搜索快速找到完美表情包

    Meme Search是一款通过视觉内容和文本索引表情包的应用程序,它能够让用户通过文本搜索快速找到所需的表情包。该应用使用自然语言处理技术,将图片中的文本描述自动生成并作为向量索引存储,从而实现快速检索。Meme Search的开源特性和创新的搜索方式,使其成为提升表情包搜索效率的有力工具。

  • PDFJourney:快速且经济的PDF创建方式

    PDFJourney 是一个旨在为用户提供快速且经济的PDF创建服务的网站。它通过简化用户界面和操作流程,使得用户能够轻松地创建PDF文件。该产品的主要优点在于其高效的渲染速度和低廉的成本,这对于需要频繁处理文档的用户来说是一个巨大的优势。PDFJourney 是 GPT4 的微调版本,它致力于通过技术手段降低文档处理的复杂性和成本,从而提升用户的工作效率。

  • AnyParser:准确、私密且可配置的文档检索LLM

    AnyParser Playground 是一个基于网页的解决方案,旨在帮助用户从PDF和图像文件中提取信息。它通过使用机器学习技术,能够处理文件的前10页,为用户提供数据的全面洞察。该平台不存储用户数据,保证了数据的隐私和安全性。

  • Reimagic.ai:将照片转化为非凡肖像的革命性应用

    Reimagic.ai是一款革命性的移动应用程序,可以将您的照片转化为非凡的肖像。它具备即时背景转换、无缝融合、多样化使用场景、用户友好界面等功能,适用于人像、宠物和产品摄影,使每张快照都成为杰作。

  • Xspiral:新一代3D可视化设计平台,让创意触手可及。

    Xspiral是一个结合了2D和3D设计的混合平台,通过AI技术增强,提供实时渲染、无需下载、协作功能。它允许用户快速创建、设计、管理、预览、分享和发布3D作品。Xspiral支持使用智能写作功能,如一键重写、总结、扩展和快速思维导图,以及创建和管理交互式3D工作流应用,包括文档、思维导图、流程图等。它还支持在3D空间中进行UI/UX设计,为初学者和专业人士提供了轻松创建3D设计的可能。

  • 如果相机:用AI帮你看见各种「如果」背后自己可能的样子

    如果相机是一款利用人工智能技术,帮助用户探索不同生活选择下自己可能的样子的网站。通过AI技术,用户可以体验到不同的生活方式、外貌变化等,从而发现更多的可能性。该产品的主要优点在于其创新性和趣味性,能够激发用户的想象力和探索欲。

  • Relingo:智能双语翻译,助力词汇记忆

    Relingo是一款专注于提升用户英语词汇记忆能力的教育类APP。它通过在用户阅读和观看视频时自动高亮生词并提供翻译,帮助用户在感兴趣的内容中轻松积累单词。产品支持多种语言,包括中文、英文、日文等,覆盖了全文翻译、视频双语字幕、PDF阅读等多种场景,使用户在沉浸式翻译中提升语言能力。

  • AI Photo Filter:AI滤镜,一键转换照片风格

    AI Photo Filter是一个在线服务,使用人工智能技术将用户上传的照片转换成多种艺术风格,如动漫、粘土、3D、像素艺术等。它适用于初学者和专业人士,只需简单点击即可使用。该技术的主要优点包括操作简便、风格多样、效果生动,能够满足不同用户对照片美化和创意表达的需求。

今日大家都在搜的词:

热文

  • 3 天
  • 7天