API的廣泛使用猶如一把雙面刃,根據Gartner報告指出,API一方面帶來了便利性並提升客戶體驗,同時亦利於微服務與創新業務的建立,但另一方面也帶來了更多的安全風險。
全球資訊網路(World Wide Web)迄今已問世超過三十年,其應用五花八門、日新月異,其中為了適應不同的個人設備或是串聯不同的服務,企業採取開放API的比例越來越高,透過開放API可以提供客戶及合作夥伴更便捷的服務,進而形成多元豐富的生態圈。
不過API的廣泛使用猶如一把雙面刃,根據Gartner報告指出,API一方面帶來了便利性並提升客戶體驗,同時亦利於微服務與創新業務的建立,但另一方面也帶來了更多安全風險。盤點API將會是首要步驟,不只是開放給第三方的API,提供給內部使用的API也同樣重要。藉此將能夠瞭解企業有多少運行中的系統與API,分別由哪個部門負責,進而去了解每支API所提供的服務、權限管理與回傳的資料。
最經典的API十大安全風險莫過於權限跨越,例如近期在某家電商網站中所發生的API安全問題。找出的API漏洞包含:(1)查詢訂單的API,只要更改訂單序號欄位的值就可以輕鬆地查看他人的訂單資訊;(2)API中包含操作者是否為admin的欄位,將該欄位的值從false改為true,就能輕易地取得最高管理權限。以上操作無須取得授權帳號即可進行越權操作,這是API商業邏輯設計上的漏洞。
目前企業多數資安設備都是針對如何預防API威脅,但是預防最大的問題就是「威脅」必須是已知的,例如企業常用的WAF主要針對異常特徵進行阻擋,專門針對API的API Gateway做身分驗證與授權控管,但這兩個設備本身並不會針對API本身的行為去做出判斷。
若將API服務比擬成「人」,我們可以透過各種預防設備(WAF/API Gateway)過濾阻擋病原體,但還是需要去追蹤各種病徵並進行診斷(API Security)才能確保健康。API安全保護通常透過蒐集API Request/Response並藉由ML建模,針對API內文結構與欄位間的關聯性進行分類,隨後可根據回歸分析找出反常的交易進行告警並且可透過人工修正持續優化誤報率,進而達成主動偵測診斷、避免有漏網之魚。
傳統企業對AI產品可能都抱持懷疑的態度,其主要原因為資料的正規化不足導致誤報率很高,在生產環境投入的效益不高,但API本身就具有相當程度的正規化,近年來OpenAPI的推行又進一步讓API更具規範與結構化,所以API安全可充分利用AI的優勢,協助企業在數以萬計的每日API交易中抵禦外部威脅或發現設計缺陷。
在API安全保護中運用AI智能,最重要的原因在於防範規則外的攻擊。若將濫用API商業邏輯漏洞比喻為「鑽法律漏洞」,透過AI可以代替人眼從每日成千上萬的流量中找出「鑽法律漏洞」的行為,並協助企業覺察API的商業邏輯漏洞,為企業提供更全面的安全保護。
<本文作者:何玉雲現為叡揚資訊系統直屬事業群總監>