博客 | 首席技术官办公室

应用程序与 API 安全? 机器人并不关心。 保护您的数字资产

Lori MacVittie 缩略图
洛里·麦克维蒂
2024 年 2 月 20 日发布

突击测验时间。 这些端点中哪些属于 API,哪些属于应用? 

https://www.example.com/product

https://www.example.com/product

如果您感到困惑且无法决定,没关系。 这就是重点。 应用程序和 API 端点看起来几乎相同。 这是因为从技术角度来说,如果它们是 RESTful 的(大多数都是),它们会以相同的方式通过 HTTPS 调用,并且通常使用 GET 方法。 通常不同的是随请求发送的有效负载。 对于通常包含一些 JSON 或 XML 格式的数据的 API,而 Web 应用请求可能不包含任何数据。 

不过,我们年度研究的一项重要发现表明,在安全性方面,组织对待 API 的方式与应用不同。 我们根据以下发现推断出这一点:41% 的组织拥有的 API 数量至少与应用相同或更多,但对保护它们的相同安全服务的重视程度却较低。 

您可能想知道组织最终如何拥有比应用程序更多的 API。 谢谢你的提问! 虽然用于内部服务到服务通信(微服务)的 API 肯定与它们支持的服务紧密耦合,但当 API 用于呈现外部接口时,情况不一定如此。 

API 从何而来?

考虑到我们 2021 年的研究中,61% 的受访者告诉我们,他们正在“添加一层 API 来启用现代用户界面”作为现代化的一种方法。 到 2022 年,这一数字将达到 45%。 这意味着支持现代用户界面的 API 不一定是直接附加到应用的工件。 它们可能是促进现代用户界面和应用(如移动应用程序和数字服务)的外观,也可能是旨在实现合作伙伴和供应链通信的外观。 这些用例由 API 网关和负载均衡器中的第 7 层路由支持,它们通常提供一定程度的转换功能,允许它们从 API 端点转换到应用程序端点,从而实现 API 外观,就像那些使古老的美国西部建筑看起来比实际上更令人印象深刻的外观一样。 

当然,相当多的 API 是附加在应用程序上的面向公众的实体,可通过网络(通常是 HTTPS)访问。 

无论如何,面向公众的 API 都会遭受与应用相同的攻击。 当涉及机器人时尤其如此,因为具有良好文档的 API 很容易让攻击者大规模编写攻击脚本。 

例如,2023 年受F5 分布式云机器人防御保护的交易中,只有略高于 13% 是自动化的。 也就是说,使用脚本或软件代替人工使用网络浏览器或移动应用。这些交易通过 API 和应用进行。 这些自动交易中肯定有一部分是“坏机器人”,我们的安全服务阻止了它们试图做的任何坏事。 (您可以在此F5 实验室报告中深入了解他们试图做什么) 

因此,当我们根据受访者自我报告的 API 数量来了解他们对机器人管理的看法时,我们有些震惊地发现机器人管理在重要性等级上相当低。

从这些漂亮的条形图中可以看出,虽然 API 网关的重要性似乎与管理的 API 数量相适应,但对于机器人管理来说却并非如此。 事实上,完全相反! 随着 API 数量的增长,机器人管理的重要性似乎有所下降。 迅速。  

确实有可能,这些 API 的大部分都是内部的。 也就是说,它们是微服务之间东西向的 API,不会暴露给可能是恶意机器人的外部参与者。 

但话又说回来,他们可能是这样的。 鉴于我去年阅读过的有关攻击者通过 API 获取访问权限的文章数量,我猜测外部攻击者的数量比我们想象的要多得多。 

因此,现在是时候提醒大家了,虽然有很多烦人的机器人(格林奇机器人、运动鞋机器人等)通过吞噬高需求商品来扰乱商业,但也有相当多的机器人的唯一目的就是嗅探漏洞并对其进行攻击。 在API和应用中。 

因此,对于组织来说,采用全方位的安全选项来保护他们的 API 并最终保护他们的业务是一个好主意。 机器人管理无疑是这些安全选项之一,并且应该被视为任何安全策略的关键组成部分。 

归根结底,机器人并不关心该端点是属于应用程序还是 API。它们会同时攻击这两者。 

这意味着组织需要通过检测机器人并阻止它们进行任何试图做的坏事来保护应用程序和 API。  

想要了解机器人防御的实际效果,请查看此演示。