CIS 服务，例如 DDoS 缓解和 Web 应用程序防火墙，用于保护 API 网关并解决任何其他安全挑战

概述

各种企业数字化转型的基础是应用程序可编程接口 (API)。无论是用于在新的云原生微服务和无服务器架构中构建应用程序、自动化企业对企业活动，还是作为移动应用程序的后端，API 在工作场所的重要性日益增加。不幸的是，网络犯罪分子意识到了这种向以 API 为中心的世界的转变，并以与 API 扩展速度相同的速度开发新的攻击方法。因此，企业迫切需要实施新的安全措施来保护其 API 和其他数字资产。将 API 网关与 API 访问管理系统相结合是保护 API 的理想方法，该系统提供集中控制点、精心监控的策略和上下文感知的访问管理。如果将 Web 应用程序和 API 安全解决方案集成到信息安全策略的规划、执行或优化中，组织将能够理解其特定风险、查明安全漏洞并识别威胁。

Web 应用程序安全风险的类型

根据攻击者的目标、目标组织所做的工作类型以及应用程序中的具体安全漏洞，可能会针对 Web 应用程序使用不同类型的攻击。

• 零日缺陷： 这些漏洞尚未被应用程序开发人员发现，也尚未提供修复。攻击的目的是尽快利用这些漏洞，然后经常尝试突破安全提供商的防御
• SQL 注入 (SQi)：使用 SQL 注入 (SQi)，攻击者可以利用数据库处理搜索查询的方式中的缺陷。攻击者可以使用 SQi 更改或添加用户权限、访问未经授权的信息、操纵或删除敏感数据等

2022 年 7 月，最近在安全公告中公开了影响 SonicWall 的 GMS（全球管理系统）和本地分析产品的严重 SQL 注入问题。该错误的严重等级为 9.4，并被跟踪为 CVE-2022-22280。由于该漏洞的攻击复杂性极低，危害潜力巨大，任何对 SQL 注入有基本了解的人都可以利用它。无需用户交互或身份验证即可从网络使用 CVE-2022-22280。

• 跨站脚本 (XSS)：这是一种安全缺陷，攻击者可以将客户端脚本插入网页以直接访问关键信息、冒充用户或欺骗用户泄露关键信息
• 拒绝服务 (DoS) 和分布式拒绝服务 (DDoS) 攻击：攻击者可以使用多种不同的媒介，用各种攻击流量淹没目标服务器或其周围的基础设施。当服务器无法再有效地处理传入请求时，服务器开始运行缓慢，并最终拒绝为真正用户的传入请求提供服务

根据 Check Point 的“2023 年威胁情报报告”，在过去六个月中，一家印度公司平均每周遭受 2,146 起网络攻击，而国际上每个组织平均每周遭受 1,239 起网络攻击。随着 COVID-19 带来的数字平台、应用程序和在家远程工作环境的更快部署，DDoS 攻击在全球范围内增加。地缘政治危机，即俄罗斯对乌克兰及其北约盟国的战争，也与 DDoS 攻击的大幅增加有关，特别是在医疗保健、电力和公用事业以及物流和供应链领域。这些增加的 DDoS 攻击针对的是对手的重要基础设施。

康卡斯特商业 (Comcast Business) 在 2022 年的一份报告中表示，其在 2021 年成功阻止了 24,845 次多向量 DDoS 攻击，比 2020 年增加了 47%。2021 年，康卡斯特 69% 的客户遭受过 DDoS 攻击，其中 55% 是多向量攻击目标。

近年来，由于物联网环境中 DDoS 威胁的增加，全球分布式拒绝服务市场大幅增长。此外，多向量DDoS攻击的激增以及对基于云和混合DDoS防护和缓解解决方案的需求不断增长也被认为是推动预测期内增长的主要因素。

要了解有关该研究的更多信息，请访问：https://www.databridgemarketresearch.com/zh/reports/global-distributed-denial-of-service-market

• API 滥用： 使两个应用程序能够连接的软件称为 API，即应用程序编程接口。与任何类型的软件一样，它们可能包含漏洞，让黑客可以在特定程序中插入恶意代码，或在应用程序之间传输私人信息时对其进行窥探。随着 API 使用率的上升，这种攻击类型变得越来越普遍
• 滥用第三方代码： 现代 Web 应用程序经常使用各种第三方工具。一个例子是使用第三方支付处理服务的[电子商务网站]。如果攻击者发现这些工具之一存在缺陷，他们可能能够窃取其处理的数据，阻止其工作，或利用它将恶意代码引入应用程序的其他部分。此类攻击包括magecart 攻击，它从支付处理器窃取信用卡信息。这些攻击有时被称为对浏览器的供应链攻击
• 页面抓取： 攻击者还可能使用机器人从网站上抓取大量内容。他们可能会利用这些信息来降低竞争对手的价格、冒充页面所有者进行邪恶或其他目的
• 内存损坏： 内存损坏是对内存位置的意外修改，这可能会导致软件出现意外行为。不良行为者会尝试检测内存损坏并利用代码注入或缓冲区溢出攻击等漏洞来获取优势
• 缓冲区溢出：当数据写入指定的内存区域时，会出现称为缓冲区的软件异常。当缓冲区达到其限制时，数据将被重写到附近的内存区域。此行为可用于将恶意代码注入目标计算机的内存，可能会导致漏洞

2023 年 8 月，Ivanti Avalanche（一种用于管理、监视和保护各种移动设备的企业移动管理 (EMM) 工具）受到两个基于堆栈的缓冲区溢出（共同标记为 CVE-2023-32560）的影响。这些漏洞无需用户身份验证即可远程利用，并且被归类为严重漏洞（CVSS v3：9.8），允许攻击者在目标系统上运行任意代码

• CSRF（跨站点请求伪造）：跨站点请求伪造是通过欺骗受害者使用其身份验证或授权发送请求来完成的。攻击者可以利用用户的账户权限冒充用户发送请求。一旦攻击者获得了用户帐户的访问权限，他们就可以窃取、删除或更改敏感数据。目标通常包括受到高度保护的帐户，例如管理员或高管
• 凭证填充： 攻击者可能会使用机器人将大量被盗的用户名和密码组合快速输入到在线应用程序的登录门户中。这称为“撞库”。如果攻击者能够通过这种做法访问真实用户的帐户，他们可能会窃取用户的数据或利用用户的名称进行欺诈交易
• 攻击面配置错误： 可通过互联网访问的服务器、设备、SaaS 和云资产构成了组织的整个 IT 足迹，很容易受到网络攻击。通过省略或配置某些组件，攻击面可能会继续容易受到攻击

Web 应用程序安全策略

• DDoS 缓解： DDoS 缓解服务使用专门的过滤器和极高的带宽容量来连接服务器和公共互联网，防止恶意流量涌入服务器。这些服务至关重要，因为一些当代的 DDoS 攻击会产生足够的恶意流量，甚至可以淹没最具弹性的服务器
• 机器人管理： 该技术将自动流量与人类用户分开，并禁止前者使用机器学习和其他专门检测技术访问 Web 应用程序

近年来，由于游戏、电子商务等多种在线业务中 API 的使用不断增加，僵尸网络检测市场出现了大幅增长。因此，持续监控 API 请求、实施零信任架构以及部署即时恶意机器人缓解技术是保护 API 免受机器人攻击的几种方法。

根据Data Bridge Market Research的分析，预计2022年至2029年全球僵尸网络检测市场将以38.30%的复合年增长率（CAGR）增长。

要了解有关该研究的更多信息，请访问：https://www.databridgemarketresearch.com/zh/reports/global-botnet-detection-market

• Web 应用程序防火墙 (WAF)： 这些设备会阻止已知利用已知或疑似利用 Web 应用程序漏洞的流量。新漏洞的快速且隐秘的出现使得 WAF 变得至关重要，因为几乎没有组织能够自行检测到它们
• 管理 SSL/TLS 加密过程的基本组件，例如创建私钥、更新证书以及由于第三方缺陷而撤销证书。这消除了某些组件被遗漏并暴露机密流量的可能性
• API网关： 这些工具可以找到遗漏的“影子 API”，并阻止已知或认为旨在利用 API 漏洞的流量。它们有助于管理和跟踪 API 流量

近年来，由于对 API 加强数字化转型的需求不断增长，以及企业为满足用户需求而开发的混合和多云 API 管理，应用程序编程接口 (API) 管理市场近年来出现了大幅增长，这将进一步补充预测期内的市场增长。根据Data Bridge Market Research的分析，从2023年到2030年，全球预测分析市场预计将以31.05%的复合年增长率（CAGR）增长。

要了解有关该研究的更多信息，请访问：https://www.databridgemarketresearch.com/zh/reports/global-api-management-market

• DNSSEC： 确保 Web 应用程序的 DNS 通信正确定向到正确服务器的技术，保护用户免遭路径攻击者拦截
• 客户端安全： 这有助于组织通过检查新的第三方 JavaScript 依赖项和第三方代码的更改来尽早检测恶意行为
• 攻击面管理： 使用一个位置来映射您的攻击面，查找潜在的安全问题，并使用可操作的攻击面管理工具快速缓解这些风险

不同企业应用程序安全的理想实践

• 提供安全授权和身份验证：内置并强制执行强大的密码安全规则，包括硬密钥、访问控制功能和其他程序在内的多因素身份验证选择，使攻击者更难以未经授权访问用户帐户并在应用程序内横向移动
• 需要输入验证：通过防止应用程序工作流程处理格式不正确的数据，防止有害代码通过注入攻击进入应用程序
• 利用最新的加密技术：以加密格式存储用户数据并利用 HTTPS 加密入站和出站流量的传输，都有助于防止黑客窃取数据
• 编码变更文档：这使安全和开发团队能够快速解决新发现的漏洞
• 监控 API：有一些工具可用于查找“影子 API”，这些工具未被注意到但可能成为攻击面；但是，如果从一开始就不会错过 API，那么 API 安全性就会变得更简单

不同行业中关键安全控制 (CIS) 服务的利用

许多行业的企业（包括具有严格法规的行业）可以使用机器人管理和其他由 Cloudflare 支持的 CIS 产品来满足安全性、性能和弹性需求。例如：

• 卫生保健 – 根据IBM《数据泄露成本报告》，医疗保健行业数据泄露的平均成本从2022年的1010万美元攀升至2023年的1093万美元，增长了8.2%。 CIS 服务对于帮助阻止这些昂贵的攻击更为重要，因为医疗保健连续 13 年在数据泄露方面造成的成本最高。医疗保健客户可以结合使用 CIS DDoS、WAF 和机器人管理来帮助缓解复杂的恶意软件机器人攻击
• 金融服务 - 银行和其他金融机构可以使用 CIS 服务（例如 DDoS 缓解和 Web 应用程序防火墙 (WAF)）来解决安全问题。客户可以利用交钥匙 Web 应用程序防火墙 (WAF) 策略保护面向互联网的应用程序免受各种攻击，包括零日攻击。
• 电子商务 - API 在电子商务中的使用不断增加也增加了 API 出现安全问题的可能性。电子商务组织可以使用 CIS 服务进行 DDoS 防护来保护 API 网关
• 高等教育 - 教育机构（尤其是高等教育机构）在其广泛的网络中存储了所有学生、教授和校友的大量数据。网络犯罪分子随后可以利用这些数据进一步攻击特定目标或针对整个机构实施更大规模的计划
• 建造 - 建筑行业深受“网络钓鱼高发”工人的困扰。建筑行业收集的数据类型是此类攻击的灵感来源。网络攻击者对个人数据和有价值的信息感兴趣，例如商业秘密、建筑时间表、成本估算和项目投标等。被盗的商业信息可能会导致严重伤害和经济损失。 CIS 控制框架解决了该行业存在的问题和弱点
• 汽车 - 当今的汽车行业将互联自动驾驶汽车视为收集大量遥测数据的智能机器。由于漏洞泄漏和基于 API 的概念验证漏洞，该行业有动机更密切地关注 API 安全性
• 中小型公司 不代表一个行业，因为它们可以属于任何子类别。虽然与大型企业相比，较小的“组织”的资产价值相对较低，但黑客不太会被这些组织所吸引，这似乎是合乎逻辑的，但事实并非如此。根据 Verizon 的数据，2020 年，小公司参与的数据泄露事件占所有数据泄露事件的比例惊人。小公司通常比大企业资金更少，处理的数据也更少，但它们的安全解决方案也不太可靠。此外，许多小型企业缺乏或根本没有网络安全措施。

不同公司采取的战略举措

• 2023 年 8 月，Cloudflare 表示，由 Cloudflare 提供支持的 IBM Cloud Internet Services (CIS) 扩大了其提供的服务范围，其中包括 Cloudflare Bot Management，现在企业高级计划中的企业可以使用该服务来帮助他们解决和应对有害机器人流量造成的威胁日益严重
• 2023 年 6 月，云验证提供商 SecureIQLab 发布了第三个 Web 应用程序防火墙 (WAF 3.0) 测试迭代。该版本将包含首个 API 安全测试用例。 WAF 3.0 将评估市场领先的安全解决方案在当今复杂网络威胁场景中的生存能力
• 2023 年 5 月，Radware 推出了新的云 Web DDoS 防护解决方案。现代 DDoS 缓解技术正在被新型更具攻击性的第 7 层 (L7) HTTPS 洪水攻击（通常称为 Web DDoS 海啸攻击）所超越。这种方法旨在缩小这一差距。它最大限度地减少误报，并提供针对零日攻击和最高级攻击的广泛攻击覆盖范围
• 2023 年 4 月，Edgio 提出了一种先进的机器人管理技术，可以观察良好的机器人，同时主动减少各种新兴的不良机器人。高级机器人管理器利用机器学习根据签名和行为指纹识别机器人，并利用从该平台的大型全球部署中持续收集的大量数据。为了实时分析整个 Edgio 全球网络中机器人的所有流量，该解决方案在每台服务器上本地运行
• 2022 年 10 月，Akamai 推出了名为 Prolexic 的分布式拒绝服务 (DDoS) 防护解决方案，这是一个全新的第六代平台。它是一个完全软件定义的、高性能、可扩展的架构，可提高满足不断变化的消费者需求和即将到来的网络安全要求的能力

结论

随着企业迁移到云端，实现海量数据集、服务和商品的数字化，API 安全性将在 2023 年及以后变得越来越重要。随着这种变化，易受攻击的 API 的攻击面增加，因此需要强化 API 服务以保护业务运营、客户和数据。在网络安全社区和许多组织中，API 安全性正在成为优先事项。API 安全性现在是一个非常关键的问题，因为暴露或配置不当的 API 为威胁行为者渗透网络提供了绝佳的机会。