企业网络安全团队已将重点转向 API 安全,这是正确的。在数字经济中,API 是业务的前门,是物联网设备、Web 和移动应用以及业务合作伙伴流程的入口点。不幸的是,API 也是犯罪分子的前门,其中许多人依靠 Bot 来发动攻击。因此,对于安全团队来说,保护 API 并缓解用于攻击它们的 Bot 至关重要。
审视 OWASP 十大 API 安全漏洞,可以清楚地看到 Bot 在 API 攻击中的核心地位。十大 API 漏洞中有三个与 Bot 有直接明显的关联。
OWASP API 十大漏洞列表中的其他七项 — 如安全配置错误、库存管理不善、授权失效等漏洞 — 与 Bot 的关系并没有那么明显,但攻击者却依靠 Bot 来有效发现并迅速利用这些漏洞。Corey J. Ball 在其著作《黑客 API》中介绍了几种用于 API 发现(OWASP ZAP、Gobuster、Kiterunner)和模糊处理(Postman、Wfuzz 和 Burp Suite)的自动化工具的使用方法。利用这些工具,攻击者会向 API 发送数千次请求以找出漏洞。为了深入了解这种窥探行为并降低其成功几率,就需要一个有效的 Bot 攻击缓解系统。
Bot 对不同 API 的影响方式并不相同。那些用于机器到机器通信并由自动化流程访问的 API(通常是内部流程或合作伙伴的流程)通常通过双向 TLS 进行保护,在这种情况下,身份验证失效的风险较低,并且可以根据已验证的客户端实施速率限制。相反,最容易受到 Bot 攻击的是那些只用于从交互式应用程序(即人类使用的网页和移动应用程序)获得流量的 API。
对于期望由人类发起流量的 API 来说,抵御 Bot 攻击变得越来越困难。开源库使通过头部指纹识别来避免监测变得轻而易举,而 Bot 运营商也可以利用广泛可用的服务来破解验证码,并通过包含数千万个住宅 IP 地址的网络验证码和代理请求。由于头分析、IP 拒绝列表和验证码等旧技术不再有效,应用程序安全团队必须依靠丰富的客户端信号收集、JavaScript 和移动 SDK 以及复杂的机器学习来区分攻击工具和 Bot 行为,从而减少 Bot 攻击的出现。
贵企业的哪些 API 容易受到 Bot 的攻击?收到影响的可能性和成本是多少?如何设计安全控制以确保必要的 Bot 防护措施?这些问题都是在威胁建模中需要解决的关键问题。了解 Bot 对业务影响的更多信息,请参阅 F5 相关主题白皮书或申请免费咨询.