在过去,勒索软件是 DevOps 团队常常担心的主要安全威胁。尽管现在勒索软件攻击仍在发生,但随着企业安全防护能力与意识增强,勒索软件造成的安全威胁已不如从前。然而,根据 Gartner 调查显示,API 安全漏洞在2021年增量高达 600%,逐渐成为恶意攻击者发起攻击的主要媒介。 DevOps 强化 API 安全性迫在眉睫。

本文将概述当今 API 安全状态,并在扩展 DevOps 现有勒索软件防御技术以保护 API 方面提供一些思路和技巧。

API 的优势

API 主要用于特定类型的应用程序、B2B 或基础设施集成。当转向微服务和分布式架构时,内部 API 就成为将应用程序环节结合在一起并在应用程序的组件和微组件之间传递信息(有时是敏感信息)的粘合剂。现在,发布公共 API 已经成为所有软件产品企业的基本操作,据统计目前公共 API 大约有 22000 个。

随着公共 API 的数量增加,其相关联的应用程序和服务受到攻击的风险也随之增加。越来越多的恶意攻击者开始专注于利用 API 来获取敏感信息的访问权。

从勒索软件保护到 API 保护

大部分人可能过认为保护 API 需要全新的安全工具与实践。但实际上,缓解勒索软件风险和减轻 API 安全风险之间存在着相似之处。DevOps 团队可以通过拓展现有的勒索软件防御技术来保护 API 安全,以下是供 DevOps 团队参考的一些策略和方法。

阻止横向移动

与勒索软件一样,恶意攻击者通过利用缺陷和漏洞横向从端点传播到端点,API 漏洞利用通常也横向传播到整个环境中。

这就意味着,虽然无法阻止所有 API (或勒索软件)攻击侵入边界,但 DevOps 团队可以采取措施阻止漏洞继续扩大。通过尽早检测环境中的恶意活动,DevOps 团队可以阻止威胁的横向传播,避免大规模入侵。

关注数据安全

勒索软件攻击和 API 攻击都专注于敏感数据。勒索软件攻击者通过破坏数据威胁来勒索赎金。而 API 攻击者通过泄漏数据(或兜售数据),例如,恶意攻击者从受感染的 Peloton 账户上窃取敏信息,以及破坏 LinkedIn 的API 来窃取约7亿用户的数据,从而给企业声誉造成严重负面影响。

因此,降低勒索软件风险和 API 安全风险可以落在保护数据安全上。 通过对内部和公共 API 的功能实施强大的访问控制和分段,可以降低由于 API 安全漏洞导致的数据泄露风险。

使用行为安全模型

当面临 zero-day 攻击和未知攻击时,基于签名的安全控制对勒索软件和 API 攻击都不起作用。尽管企业已经竭尽全力去强化安全环境,但还是无法避免漏洞绕过防御的情况发生。

因此部署基于行为的安全模型时防范勒索软件和 API 攻击的关键。行为安全模型能够检测环境中的异常活动,例如异常类型的请求或异常的请求模式。通过对行为进行建模和基线化,

这就是为什么部署基于行为的安全模型是防范勒索软件和 API 攻击的关键。行为安全模型检测环境中的异常活动,例如异常类型的请求或奇怪的请求模式。通过对行为进行建模和基线化,并根据您的模型检测异常,您可以防止攻击一旦开始就蔓延开来。

不要依赖基于外围的防御

企业需要明白的是,保护系统环境外围并不是针对勒索软件或 API 攻击的万无一失的防御措施。相反,需要在所有端点、应用程序、服务等之间分配保护。

如之前所说,我们无法百分之百保证攻击者无法进入企业的系统。防御成功很大程度上取决于企业是否有能力让恶意攻击者难以将他们的攻击从小规模突破升级为影响广泛的攻击。

同样,没有什么可以保证攻击者不会进入。你的防御成功很大程度上取决于你是否有能力让他们难以将他们的攻击从小规模突破升级为影响广泛的攻击的资源。

关注表面以外的防护

勒索软件和 API 攻击的相似之处在于,这两者通常都涉及旨在逃避常见安全监控工具的攻击方法。

比如,攻击者可能会尝试利用端口 80 或 443(默认 HTTP/HTTPS 端口),这些端口几乎总在防火墙上打开着。因此,DevOps 团队必须避免仅依赖标准端口或加密来保护 API 流量的方式。相反,必须要对有效负载深入研究,然后解析和理解协议。监控和收集来自多个来源的数据,然后对其进行关联和分析,以更深入地了解环境中实际发生的情况。

结 论

勒索软件攻击和 API 安全攻击在某些方面有着根本的不同,它们涉及对不同协议的利用,且攻击者的目标通常有所不同。但就攻击者的操作方式、他们想要窃取的内容(比如敏感信息和数据)以及基于边界的防御、勒索软件攻击和 API 攻击的限制而言,这两者非常相似。

因此开发人员和 DevOps 团队无需重新考虑他们的整个安全策略来应对 API 攻击激增。相反,通过现有的勒索软件防御技术,DevOps 团队可以在此基础上进行拓展,以保护 API 安全。

参考链接:

https://www.gartner.com/en/webinars/4002323/api-security-protect-your-apis-from-attacks-and-data-breaches

https://www.c2experience.com/blog/living-in-an-api-driven-economy

DevOps 团队如何防御 API 攻击的更多相关文章

  1. 使用Typescript重构axios(二十四)——防御XSRF攻击

    0. 系列文章 1.使用Typescript重构axios(一)--写在最前面 2.使用Typescript重构axios(二)--项目起手,跑通流程 3.使用Typescript重构axios(三) ...

  2. 防御XSS攻击的七条原则

    本文将会着重介绍防御XSS攻击的一些原则,需要读者对于XSS有所了解,至少知道XSS漏洞的基本原理,如果您对此不是特别清楚,请参考这两篇文章:<Stored and Reflected XSS ...

  3. Jsoup代码解读之六-防御XSS攻击

    Jsoup代码解读之八-防御XSS攻击 防御XSS攻击的一般原理 cleaner是Jsoup的重要功能之一,我们常用它来进行富文本输入中的XSS防御. 我们知道,XSS攻击的一般方式是,通过在页面输入 ...

  4. 拦截过滤防御XSS攻击 -- Struts2.3 以及 2.5 的解决方式

    使用Struts2框架开发的后台在防御XSS攻击的时候很多方式都不能用,因为Struts2对请求进行的二次封装有区别.以下针对Struts2的XSS攻击进行拦截过滤防御解决: Struts2.3 本方 ...

  5. 认识与防御XSS攻击

    什么是xss攻击? XSS,即(Cross Site Scripting)中文名称为“跨站脚本攻击”.XSS的重点不在于跨站攻击而在于脚本攻击.攻击者可以利用 web应用的漏洞或缺陷之处,向页面注入恶 ...

  6. WEB安全 - 认识与防御XSS攻击

    目录 什么是xss攻击? XSS的危害 XSS攻击分类 xss攻击示例 反射型攻击 - 前端URL参数解析 反射型攻击 - 后端URL参数解析 注入型攻击 - 留言评论 如何规避xss攻击? 总结 什 ...

  7. Linux下防御DDOS攻击的操作梳理

    DDOS的全称是Distributed Denial of Service,即"分布式拒绝服务攻击",是指击者利用大量“肉鸡”对攻击目标发动大量的正常或非正常请求.耗尽目标主机资源 ...

  8. 8. 博客系统| 富文本编辑框和基于bs4模块防御xss攻击

    views.py @login_required def cn_backend(request): article_list = models.Article.objects.filter(user= ...

  9. 描述ARP协议的工作原理,怎么实施ARP攻击和防御ARP攻击

    什么是ARP协议?ARP,即地址解析协议,实现通过IP地址得知其物理地址.在TCP/IP网络环境下,每个主机都分配了一个32位的IP地址,这种互联网地址是在网际范围标识主机的一种逻辑地址.为了让报文在 ...

  10. NGINX防御CC攻击教程

    CC攻击即http flood,以攻击成本低(只需数台http代理服务器即可实现攻击).隐蔽性强(中小CC攻击一般不会造成网络瓶颈).难防御(与正常访问的请求很难区分开).威力强大(造成和DDOS流量 ...

随机推荐

  1. JavaScript(ES6):变量的解构赋值

    解构赋值定义: 允许按照一定模式从数组或对象中提取值,然后对变量进行赋值. 数组的解构赋值 注:数组的元素要一次排序的,变量的值由他的位置决定. 基本用法 // ES6 解构赋值 let [a, b, ...

  2. Python 在PDF中生成水印

    前言 在PDF中插入水印是比较常用的一种功能.一般在生成比较重要的,或者需要注明版权.作者的文档时使用比较多. 这里我将分享一个通过python代码为PDF文档添加水印的办法(包括文本水印和图像水印) ...

  3. FPGA常用IP核

    前言: 芯片行业中的IP,一般称为IP(Intellectual Property)核,是具有知识产权核的集成电路芯核的总称.说白了就是厂家实现的具有特定功能工具,然后我们可以直接调用,就相当于是函数 ...

  4. Vue3设计思想及响应式源码剖析

    一.Vue3结构分析 1.Vue2与Vue3的对比 对TypeScript支持不友好(所有属性都放在了this对象上,难以推倒组件的数据类型) 大量的API挂载在Vue对象的原型上,难以实现TreeS ...

  5. [OpenWrt]软路由H28K开启USB无线教程

    0x01 背景 H28K软路由带了一个USB2.0的接口,官方说是支持USB无线的:于是就网购了USB转WIFI的设备(芯片:RTL8811CU),拿到手后开心的插上去,发现没有任何反应:在Q裙中询问 ...

  6. 【UniApp】-uni-app-OptionAPI应用生命周期和页面生命周期

    前言 好,经过上个章节的介绍完毕之后,了解了一下 uni-app-修改组件主题和样式 那么了解完了uni-app-修改组件主题和样式之后,这篇文章来给大家介绍一下 uni-app-OptionAPI应 ...

  7. raft算法的自我理解

    1.raft算法是什么? 答:共识算法 2.raft算法有什么用? 答:维持不同机器的强一致性 3.raft算法通过什么方式来维持不同机器的强一致性? 答:传递log日志 ,按照官方的说法日志里面包含 ...

  8. [ABC246B] Get Closer

    section> Problem Statement From the point $(0,0)$ in a two-dimensional plane, let us move the dis ...

  9. Cocos-JS HTTP网络请求

    网络结构 网络结构是网络构建方式,目前流行的有客户端服务器结构(C/S结构)和点对点(P2P)结构网络. 客户端服务器结构(C/S结构) 这种结构又被称为Clicent/Server结构,它是一种主从 ...

  10. 目标检测工具安装使用--labelImg

    如果想要在深度学习中训练我们自己的模型,就得对图片进行标注.labelImg是一个超级方便的目标检测图片标注工具,打开图片后,只需用鼠标框出图片中的目标,并选择该目标的类别,便可以自动生成voc格式的 ...