当你访问交易网页时,点击不明链接,接着页面被劫持跳转到骗子网站,结果产生个人信息损失和财产损失。这种情况的发生是因为你点击了链接,登录即意味着给该网站授权API(应用程序接口)使用权,有了API使用权,攻击者可以访问和调用数据进行其他违法操作。
在日常生活中,随着应用程序的爆炸式增长,API接口伴随着我们留下的每一次互联网足迹。线上购物、银行交易、就医挂号、在线求职等等行为都需要访问和控制API接口,这意味着,如果没有安全的API服务,工作和生活将随时暴露在风险中。
API也是企业数字化业务的基础,在企业数字化转型的浪潮中,它成为黑客和恶意攻击者的首要目标,在攻击下产生的未授权访问、越权问题、数据窃取、资源耗尽等问题都是企业经常面临的安全难题。再加上云计算和物联网的普及,云服务提供商和物联网设备安全防护较弱,API安全威胁不断增加。
作为API安全领域的深耕者,F5致力于应用程序安全防护,保护企业数据和用户隐私。F5自成立之初就旨在解决应用大爆炸问题,擅长解决和应对与应用性能有关的大流量、大并发等场景。
在F5的“现代应用安全,构建数字安全新防线”主题媒体沟通会上,F5安全事业部总经理兼金融及企业事业部技术总监陈亮,向大家介绍了F5在应用安全方面的前瞻性思考和布局。
F5安全事业部总经理兼金融及企业事业部技术总监陈亮
1月,F5安全运营中心(SOC)预测了2023年会出现的五大网络安全风险,包括:影子API将带来不可预知的漏洞、多重身份验证将失去效力、云部署故障排除将带来更多问题、开源软件库将成为攻击的主要目标、勒索软件将进一步扩张。
其中,影子API威胁着重被提及。F5认为,影子API代表了一种日益增长的风险,可能会导致大规模数据泄露,而受到侵害的组织甚至不知道这种风险的存在。许多企业发展至今,没有准确的API库存清单,生产中的API和受益于持续开发的API将会偏离于它们在清单中的原始定义。在这两种情况下都会出现组织不可见的公开API,这些API被称为“影子API”,而许多应用会通过“影子API”被攻破,而企业对这些API了解甚少,甚至毫无察觉。
此外,F5预测云部署故障将带来更多安全问题。在《2022应用保护报告》中,F5提到大多数云事件都与配置错误有关,通常是过于广泛的访问控制。许多云用户创建临时服务用户,然后通过内置身份和访问管理(IAM)策略或内联策略为其分配非常广泛的权限。这类临时的配置经常被遗忘,从而成为永久性配置,导致攻击事件发生。这种情况伴随着云应用违规频率的不断增加,规模不断上升,值得企业提高警惕来应对云上的应用安全。
API正在迅速普及,2021年有11.3亿个请求通过以API为中心的开发者工具Postman提交。然而,根据Postman发布的API状况报告中显示,48%的调查对象承认每月要处理至少一次API安全事件。如此高频的安全事件导致应用安全面临愈发严峻的挑战。
陈亮总结,应用安全在这个时代面临三大挑战,第一,应用数量众多,如何保证每一个应用安全、稳定并得到相应的安全保障?第二,应用在部署时会采用云技术,在云中部署应用是否能保证安全如影随行,云上防护能力和本地数据中的安全策略能否保持一致?第三,现有的安全防护能力能否识别每一种API传输协议,针对每一个API接口实现可信和可控访问,对请求进行授权、认证、加密、防护。
F5如何应对上述三大挑战?陈亮表示,从宏观角度看,应用安全问题包含两方面,一是应用的增长,二是安全需求的增长。F5自身拥有多年积累的安全承载能力,并且这种能力具备高度可扩展性,保证每个应用的安全、稳定运行。
针对多变的API传输协议,陈亮表示“应用协议发生什么变化,我们就提供相应的安全保障。”他举例,API请求在发展过程中变化频繁,例如物联网协议希望更轻量、执行速度更快、传输字节数更小,相应的API传输协议会发生变化。而前端安全网关设备无法识别API传输协议变化时,也意味着它无法发现隐藏其中的安全攻击行为。但F5能够随着应用协议的改变来提供自适应的安全防护能力。
纵深防御、动态对抗是F5为安全防护构建的整体安全框架。纵深防御,即所有的安全防护能力可以部署在任何位置,例如在边缘层、客户网络接入区、DMZ区、应用接入区等位置部署,进行层层纵深防御。
动态对抗即联合对抗能力,此前在纵深防御层面部署的F5安全服务,可以实现将发现的所以异常访问和请求行为,以遥测的方式传递给智慧大脑,进行人工智能和机器学习的分析。同时,F5的安全能力可以和企业所建的本地的数据中心建立的智慧大脑平台、大数据平台、安全感知平台联动,统一提供相应的安全态势感知和安全服务。
基于纵深防御动态对抗的安全架构体系,F5在安全防护上带来了以DNS安全、DDoS安全、BOT攻击识别、零信任接入,安全即服务编排引擎、WAAP能力、欺骗防御(蜜网),以及动态对抗为代表的八大价值。
陈亮表示,F5今年主推整体的解决方案,以“纵深防御、动态对抗”整体安全架构为基础,针对API安全可信访问做了大量方案整合。无论是外部的API请求还是内部的API调用,都可以从四个方面:接入控制、零信任访问授权、网络层面、应用层面,一层一层地进行过滤、识别和防护,保证企业享受API经济带来的机遇同时,还保障每一笔API请求的安全性。
凭借着过硬的安全防护实力,F5的安全产品和服务与企业深度链接,其整体安全架构得到企业的高度认可。在过去的2022财年,F5全球安全营收达到10亿美元,占比整体营收的37%。在当前的API经济浪潮中,整体的安全架构和安全防护能力产生大量质的变化,而F5凭借扎实的技术布局和有力的安全服务将牢牢占据领先地位。