攻擊者砲火瞄準API　試探漏洞弱點入侵竊資

為因應網路環境威脅日增，F5 Lab（F5威脅情資與網路安全研究部門）每年投注極大的時間與心力，研究應用程式在今日世界對企業扮演的角色功能，今年除了內部收集的資訊，還結合了Baffin Bay Networks及其全球1,500多個來源的威脅情報。此外，也與發表「Verizon資料外洩調查報告」的安全研究先驅Cyentia研究所合作，以便獲得更深入的見解。

在這一年中，應用程式數量以驚人的速度激增，導致應用程式受到攻擊和防禦的方式發生了變化。以下除了探討威脅態勢、攻擊變化以及面對不斷變化的資安威脅提出實務建議外，也將聚焦在API攻擊的途徑與影響。

2018年81%PHP遭受針對性且不分青紅皂白的網路攻擊

在過去的兩年中，開源伺服器端語言PHP成為一種具有高度針對性的攻擊媒介。2017年有58% PHP遭受網路攻擊，到2018年上升到81%。PHP廣泛使用且功能強大，自2013年以來，至少在80%的Web網站上連續使用。這樣的流量提供了有價值的情報，因為它沒有針對任何特定目標，正尋找Internet上具有適當漏洞的機會。

深入研究後，發現有87%的流量來自兩個屬於北美大學校園的IP地址指向常見的phpMyAdmin路徑，他們對瑞典網路安全公司Baffin Bay Networks發動超過66,000次攻擊，這兩個IP就占總攻擊流量的37%。根據研究，這些攻擊者在已經被遺忘的舊有MySQL資料庫上，尋找弱密碼的用戶組合發動攻擊。

一個簡單的結論就是，如果你使用的是PHP，可能會被全面搜查以尋找弱點。

請務必確保已經修補所有的弱點，並且仔細注意被已知的PHP利用，例如CVE-2018-12613和CVE2018-20062。而且，如果在線上有任何支援PHP的管理介面，則需要密切關注。

清查資料外洩成因與行業別的關係

針對美國10個州在網路上發布的資料外洩事件所做的統計分析發現，在2019年，使用網路釣魚或電子郵件駭客攻擊等，是資料外洩最常發生的原因，比例也最高。2019年已經達到52%，高於2018年的47%。 相比之下，用於支付卡竊取或注入惡意程式碼攻擊所占的比例為17%，相信之後會更高。除此之外，也發現某些類型的企業會遇到相同種類的外洩行為，而漏洞的性質取決於這些不同的行業部門採用什麼方式收集及儲存寶貴的資料資產。

電子商務付款劫持注入攻擊

在2018年，有些行業遭受連線劫持造成的傷害。以電子商務交易為主的零售部門是主要目標，有72%的零售外洩事件是透過這種方式發生的，但是其他行業如製造業、科技行業和政府部門，也發生嚴重的表單劫持攻擊（Formjacking）事件。在2019年，零售業卻單獨成為重要的劫持目標。零售業外洩事件中，有81%來自於表單劫持攻擊，而幾乎所有其他行業都傾向於成為存取控制層攻擊的目標。

網路釣魚和電子郵件盜竊

在2018年釣魚郵件集中在金融、醫療保健和會計等領域。在2019年除了前面討論的零售業、製造業和公共部門外，幾乎所有企業部門都在存取控制層遭受到最頻繁的攻擊。

大多數安全策略都明確規定加密法規並禁止用戶將有價值的資訊儲存在郵件中，對於大規模的釣魚詐騙手法竊取電子郵件通常只是攻擊者的第一步，以營利目標騙取金錢財物外，竊取商業機密更造成企業聲譽重大的損失。

攻擊者的目光聚焦在API上

用最簡單的術語來說，應用程式編譯介面（API）是應用程式的用戶介面。它創建一個連接點，其他應用程式服務或行動應用程式可以透過該連接點來推送或存取資料。API Gateway是運行在應用程式伺服器上的伺服器，也可以說是進入系統的唯一入口，用於協調和管理API的流量。

因應網路平台多樣性的發展，API應用程式介面開放物件功能和資訊，允許其他應用程式以不同的方式與其他網站進行串接、共享，這也使API成為擴展功能並將功能嵌入其他應用程式的好方法。它們不僅是另一部分基礎架構的延伸，可以是和其他API互動的橋樑，甚至也可以直接產生收入來改變企業的商業模式。

但是，API也是最被駭客企圖攻擊的目標，因為API一般不是設計給用戶直接使用，所以通常將API設置成具有較為廣泛的權限，以存取應用環境中的資訊。通常為發出原始請求的用戶設置權限，然後將這些權限傳遞給API，攻擊會繞過用戶身分驗證過程，直接進入內部應用程式。研究發現，API資料外洩通常會分為三種與常見外洩相對應的API使用模式：大型平台、行動應用和配置錯誤的「大型應用」外洩。

大型平台上的API外洩

具有高流量且提供廣泛服務的大型平台，如社交媒體或電子商務平台，提供大量第三方網路的整合方案。這些整合依靠API從第三方收集資料並以無縫方式將其交付給用戶。在多雲環境具備第三方功能和內容、無伺服器和容器化的架構為代表的去中心化基礎架構越來越多，這意味著API對於現代的高容量平台至關重要。

其中一些平台具有數百個API，所有這些API都需要進行管理和監控。這類型的企業或業務模式在調查的API外洩通知中占有很高的比重，從2018年9月到2019年9月，此類外洩事件占已知API外洩的41%。

行動應用程式上的API外洩

大多數行動應用程式都依靠API從伺服器中取得資料，由於保護行動應用程式存在既有的挑戰，因此充滿鬥志的攻擊者會尋找漏洞或機會，例如硬編碼憑證或脆弱的存取控制功能。 從2018年9月到2019年9月，行動API外洩事件占所有API外洩的31%。

配置錯誤的大型應用

之所以發生這些外洩，是因為企業中的第三方利益相關者既不知道API的存在，也不知道不安全的API會造成多大的資安危害，因此他們沒有在登入介面中放置任何身分驗證。聽起來很不可思議，但這凸顯了可視性的基本挑戰。從2018年9月到2019年9月，大型應用程式中的錯誤配置造成了28%的API相關外洩事件。

API隨時可能被搜尋被鎖定

定位所有API是任何防禦方案的先決條件，並且這是一個持續的過程，因為對應用環境的更改，可能會意外地暴露自認為隱藏的內容。連續掃描配置異常和監聽服務始終是一個好主意。

至於保護API的議題，應該制定API安全策略，該策略定義誰可以對API上的哪些服務執行哪些操作。例如，接受影音的API應該首先對行動應用程式進行身分驗證，然後對用戶進行身分驗證。之後，該API應該只允許通過嚴格規則定義後批准上傳的資訊才能夠上傳到該用戶的儲存設備。

應用程式安全性的未來

了解多年來應用程式攻擊的所有變化，可幫助查詢威脅來源的各種軌跡並做更好的防範預測。

威脅情報與最佳做法的概念互相抵觸

可以從行業別外洩情況中得到一個結論，企業對於防禦資料外洩的思維，應該從基於風險評估的安全防護，而非只是查核安全清單。如果知道攻擊者已經成功地進入企業儲存敏感資料的位置，則意味著企業需要制定有效控管策略，以面對他們實際面臨的威脅，這印證了風險評估必須成為任何安全計畫的基石，而任何風險評估的第一步都是持續被清查關注。

企業無一例外將面臨推陳出新的風險

資安風險就是營運的風險。隨著不斷精進變化的技術，今日的資安防護如同一場的軍備競賽，企業將逐漸把這些風險納入自身的業務運作思維中。

雲端運算已經逐漸從尖端風險轉變為企業數位轉型時現代基礎架構的基石。與雲端相關的風險也透過雲端架構、安全協議、法規與稽核管理等，分散在各服務層級之中。

隨著商業世界逐漸掌握服務提供的新趨勢，風險逐漸從被動式、純技術漏洞管理，轉變為主動地業務型管理應對。 為了確保完整的安全性，防護策略絕對必須涵蓋機會主義攻擊者的威脅，了解每個應用程式及其安全弱點，並且依照所含資料的價值來設定風險層級，這樣才能夠建構整體性的應用安全觀點。

＜本文作者：Ray Pompon現為F5 Labs威脅情資與網路安全研究部門首席威脅研究專家）、Sander Vinberg現為F5 Labs威脅情資與網路安全研究部門威脅研究專家。＞