如何使用人工智能保護API的安全

時間 2020-02-11

原文原文鏈接

數字轉型是基於一種可驅動新的操做模型的API，提供對業務邏輯、應用程序和數據的直接訪問。雖然這種訪問對於員工，合做夥伴和客戶來講很是方便，但它也使API成爲黑客和惡意網絡的攻擊目標。隨着愈來愈多的攻擊和漏洞，擴展安全性如今變得愈來愈重要。數據庫

現有的解決方案（例如訪問控制，速率限制等）提供基本保護，但不足以徹底阻止惡意攻擊。今天的安全團隊須要識別並響應動態變化的攻擊，這些攻擊利用了各個API的自我漏洞而提升了攻擊的成功率。想一想在將來，人工智能能夠檢測API以及其餘泄露數據的異常行爲，自動阻止對整個API基礎架構的攻擊，並設計完善解決方案是多麼值得期待的事。此方法爲IT基礎架構提供了深刻的可見性，並使安全團隊可以在識別出惡意行爲時當即採起行動。api

API違規

2019年，澳大利亞最大的房地產估價公司LandMark White發生API漏洞，致使房產估價細節和客戶信息泄露。在這種狀況下，原本只供內部使用的API卻能夠從公司域外訪問。安全

這些漏洞致使了不一樣程度的公司違規行爲，包括帳戶被接管，私人信息和照片被盜以及信用卡號碼的提取。在這次違規行爲以後，該公司的良好聲譽遭到破壞，他們的客戶和銀行合做夥伴急忙尋找其餘替代品。服務器

從泄露到發現漏洞整個過程持續了數週或數月才被檢測到，同時其餘相似的違規行爲已經花了將近一年時間才能徹底解決。除LandMark White外，到目前爲止許多人信息還是沒有保障的，這是一件十分危險的事情。要了解如何防範這些威脅，咱們必須首先了解API所帶來的潛在漏洞。cookie

API漏洞

許多企業目前依靠不充分的安全措施來保護其API。雖然API管理工具提供了一些重要的安全功能，包括身份驗證和速率限制，但這些作法一般沒法阻止專門爲違反API及其提供訪問權限的數據和系統而構建的攻擊。網絡

1.不完整的驗證

缺乏權限審查是最近一系列API違規中反覆出現的漏洞模式。這些丟失的權限審查會在生產API中暴露漏洞。在某些狀況下，徹底缺少訪問控制已經使API信息暴露，使得具備基本技能的不良行爲者能夠進行惡意攻擊。架構

在Facebook，USPS和Verizon / LocationSmart的狀況下，黑客使用特定賬戶對API行爲進行反向工程，以識別至少一個漏洞，該漏洞能夠在沒有正確憑證檢查的狀況下提供對來自其餘賬戶的數據的訪問，並且將全部這些都假裝成像普通用戶。這種技術有可能提供對大量帳戶的訪問，並已成功用於破壞某些銀行和保險公司。框架

若是調用API的應用程序時，可能不會暴露上述漏洞。由於經過跳過客戶端應用程序（例如，Web應用程序）並直接調用API來觀察數據和控制流，是會得到惡意訪問的。客戶端應用程序極大地限制了經過用戶界面限制使用API的方式，依賴應用程序可能會提升些許安全性，尤爲是在API層的應用程序以外未執行測試時。機器學習

除了訪問控制以外，API安全性還必須包括內容驗證。在2019年初發現（已經修復）的Kubernetes的API服務器事件，向咱們展現了這種缺少安全性內容是致命的。整個事件起始是被受權向Kubernetes API服務器發出補丁請求的用戶能夠發送過量消耗的特別補丁。這種處理過程當中的資源上傳，致使API服務器上遭受到服務（DoS）攻擊。工具

利用此類漏洞能夠極大地破壞服務，若是傳入的JSON補丁包含超過10,000個操做，則Kubernetes API服務器修復包括返回413類型錯誤。這種類型的內容驗證很容易在API網關中配置，但它常常被遺漏，由於這樣作須要超越自動生成的JSON模式，這些模式只定義簡單的規則類型，須要人工干預才能識別特定驗證的須要，並確保正確的配置和測試。

2.API缺少可見性

就目前來看，API數量的激增只會增長其漏洞。API的部署速度比以往任什麼時候候都要快，並且不少不一樣的團隊在某些狀況下，要求創新、減小摩擦和創造新收入流的持續壓力會致使API不可用的意外影響。

所以，許多利益相關者報告其組織部署的全部API缺少可見性，這並不奇怪。事實上，許多API相關的漏洞已經被發現幾個月，甚至是幾年，這進一步說明了總體API設計缺少可見性。

此外，一些API並非公開的，可能只被視爲整體項目的實施細節。這使他們會被從安全性的角度隱藏起來，但反過來又致使缺少特定的安全考慮因素。在其餘狀況下，從組織的不一樣部分出現的API可會由於異構平臺致使不一致的安全策略。

不管如何，這些API可能與公共API同樣容易受到攻擊，由於它們一樣容易被黑客反向設計。爲彌補這些差距，咱們須要清楚地瞭解須要保護的內容，對API流量的深刻洞察爲改善網絡安全提供了起點。

3.超越Token驗證的思考

驗證Token並驗證請求用戶的身份一般不足以支持API基礎結構。在API層應用粒度訪問控制的能力不只符合邏輯，並且隨着API成爲訪問開發人員的數據的最經常使用渠道，它將成爲常態。

此外，定義應容許我的請求哪些數據的規則不只由API提供商定義，還由用戶定義。這些決策容許用戶在涉及他們擁有的數據時限制應用程序，所以用戶API的管理策略與核心API安全性概念緊密相關。

API基礎安全的核心是審查和治理流程的定義，更新的API必須通過審覈，首先要肯定問題的答案，包括：

訪問API須要哪些權限？
誰是預期的請求者？
該服務將利用哪些數據庫和數據進行讀寫？
該API與之交互的其餘服務是什麼？
輸入和輸出參數是什麼樣的，它們應該如何被限制？

這些問題的答案會告訴咱們預備發佈的新API應該採起哪些安全策略。

4.擴展舊的基礎API安全性

即便有正確的基礎，安全性也只能保持與其配置的程度至關而已。當配置受到人爲錯誤的影響時，API漏洞使其通過測試並投入生產的風險隨着API層複雜性的增長而增長。即便你已採起一切措施來防止它，仍然可能面臨在API自己上暴露漏洞的風險。

例如，黑客常常經過網絡釣魚攻擊竊取tokens，這些攻擊容許他們構成合法的應用程序。此外，表明用戶調用API的客戶端應用程序也存在缺陷，而且在保密方面很是糟糕。這能夠像經過查看應用程序的JavaScript代碼或經過HTTPS代理查看API流量而進行反向破解API密鑰同樣簡單。

例如，北卡羅來納州立大學的一項研究代表，GitHub是一個用於調用API的應用程序機密寶庫，超過100,000個存儲庫泄漏了API token和加密密鑰。GitHub經過實施新的安全功能從提交到其平臺的代碼中掃描token來實現這一發現。

攻擊者還使用遠程訪問特洛伊木馬來竊取憑據，如Mimikatz。而後，他們使用竊取的憑據來冒充用戶並獲取token。另外一個常見漏洞是受權服務器上的憑據填充，利用從先前漏洞中挖掘的憑證集合。

在每種狀況下，攻擊者都會利用用戶調用客戶端應用程序或受權服務器上的漏洞獲取token，而不是API自己。這提出了許多問題，由於這些token彷佛是合法的，黑客看起來像一個有效的用戶。這爲用戶數據「經過API泄漏」設置了臺階，即便有適當的訪問控制策略和運行時實施，這些攻擊除了那些涉及API自己漏洞的攻擊，也不會被傳統的API安全工具檢測到，並且一般持續數月甚至數年。

安全團隊能夠投入大量精力教育用戶和API開發人員關於客戶端應用程序安全性和身份基礎架構，但他們仍然可能面臨生產API漏洞和憑據泄露的風險。API提供商必須在其安全措施中考慮這一點，不管API是內部仍是外部。但其實能夠經過應用人工智能（AI）來加速攻擊檢測和自動阻止攻擊。

將AI應用於安全性

安全團隊能夠根據用戶一般展現的API行爲來培訓機器學習引擎。經過使用AI，團隊能夠識別好的和壞的流量，並在沒有人工干預的狀況下識別未遂的攻擊和持續的攻擊。

1.用AI檢測非典型行爲

每一個API調用時，訪問token或cookie的數據以及某些操做的時間和順序均可以提供給AI模型。在運行時，此機器學習引擎利用行爲模型來識別潛在威脅的跡象，例如特定token或cookie是否在合法應用程序以外使用，數據是否被泄露或更改等。

利用基於AI的異常使用檢測可顯着加速威脅可見性，將攻擊發現從數月轉換爲數分鐘或數秒。檢測到可疑API活動後，用於獲取API訪問權限的訪問token或Cookie能夠列入黑名單或撤銷，當即中止在全部API端點上使用該token從任何一方進行訪問。若是這些攻擊背後存在相同的用戶身份，則必須將用戶身份自己列入黑名單並相應地進行標記。在沒有人爲干預的狀況下實現這種類型的監視，攻擊檢測和阻止。

2.使用API誘餌

API陷阱的使用也能夠加速API黑客攻擊的檢測。這涉及添加僞造的API資源，這些資源會向請求者返回看似有效的響應。陷阱利用黑客傾向於以合法應用程序不具有的方式進行搜索，有效地轉變爲桌面以利用圍繞典型黑客行爲的知識。

當黑客陷入這些陷阱時，他們會當即獲得承認。同時，他們的相關IP地址和訪問token（若是他們當時擁有它們）會自動被視爲已泄露並列入黑名單。陷阱偵聽器可以識別出這些請求不可能從真正的應用程序傳入，由於這些API資源不合法存在。這些安全措施不須要自定義規則或擴展配置。

3.阻止和修復

固然，檢測只是解決方案的一部分，系統如何反饋一樣重要。一旦發現客戶私人信息（例如token）已被泄露，該信息必須當即被撤銷或列入黑名單。此外，必須記錄這些事件以供後續審覈，而且必須通知安全信息和事件管理（SIEM）系統以應對接下來相似的狀況。

應記錄有關在檢測和阻止受損憑據以前調用的方法和資源的詳細信息，以報告形式提供的信息容許API提供者、DevOps團隊或安全團隊採起必要措施來修復或逆轉攻擊形成的損害。

保護API的技術和工具

使用合適的技術和工具來保障API的安全性，是一種最易實現的舉措。如今，有許多技術和工具能夠最大程度上的保護API免受網絡攻擊和黑客入侵，最簡單的就是用API gateway（API網關），經過流量過濾和節點監控等方式去防止未知的攻擊和入侵。諸如國外的Amazon API Gateway（亞馬遜旗下）、國內的 GOKU API Gateway（EOLINKER 旗下）等都能輕鬆的實現網關係統的要求。在 API gateway 這個領域，也有一些開源框架在活躍，如 Netflix Zuul，基於 Nginx 的 Kong 等，目前關注較少，就不展開介紹了。在選擇網關係統時，安全性、便捷性和本土化性須要特別關注的幾個關鍵因素，這些網關都對API的安全性有必定的保障，使得私密的信息能免遭泄露。

結論

API安全性是數字化轉型計劃的重要組成部分，能夠提升跨渠道的網絡安全。在危機四伏的時代，採用以身份爲中心的API安全基礎設施是現代數字化轉型戰略的核心。爲了確保API的安全性，還須要深刻了解API活動和AI驅動的漏洞檢測。二者都須要在基本的API訪問控制上進行分層，以捕獲源自API漏洞的攻擊，並在傳統API安全系統的配置中修復人爲錯誤的風險。

參考資料：Jinesh Thakkar，Secure APIs Using Artificial Intelligence

原文連接：https://dzone.com/articles/se...

圖片來源：互聯網