云计算、大数据在各行业深入应用,业务安全场景不断变化,大量的企业业务及应用深度依赖于API的调用,API应用的增速与API安全发展的不平衡,使得当下存在许多由API管理不当引发的业务攻击、数据泄露等安全问题,对企业业务安全提出了较大的挑战。
2021年,威胁猎人推出了国内首个以“情报”能力为基础的API安全管控平台,基于攻击者使用的攻击资源如IP、工具等风险情报构建API安全基线,主要体现在通过业务请求命中的风险IP浓度波动来判断是否存在攻击事件,从情报的视角能够更加有效、快速地识别API流量中的攻击流量。
截至目前,威胁猎人API安全管控平台已在金融、互联网、医疗、汽车等行业应用,在与越来越多的客户落地实践中,我们的“情报”也遇到了一些问题:
一方面,当业务本身是大流量,会极大稀释流量中隐藏的攻击流量,导致业务请求中命中的风险IP浓度波动不明显;
另一方面,针对长期持续、低频的慢速攻击,也会出现风险IP浓度波动不明显的情况,从而导致对API风险的识别不够敏感。
为此,威胁猎人对API风险感知模块进一步升级,推出“关联情报引擎”,在原有情报能力的基础上,挖掘更多特征维度进行关联分析,以确保风险感知的灵敏度和风险判定的准确性。
多维度流量特征异常分析,建立更加可信的动态行为基线
威胁猎人关联情报引擎在原有情报能力的基础上,增加了对API访问流量中UA、请求序列等维度的分析,进一步挖掘出攻击流量的特征,以确保风险判定的准确性,并为风险判定提供了有效的解释证据。
在对API风险流量进行识别的过程中,关联情报引擎会基于流量中命中风险标签的流量进行分组,比如命中风险IP的流量可定义为高风险流量,未命中风险IP的流量定义为低风险流量,同时,对不同分组的流量异常特征进行提取和分析,例如提取UA、行为序列进行分析。
如果业务遭到黑产攻击,对比高风险流量和低风险流量,两者之间往往会在UA、行为序列等维度存在非常明显的分布差异。
以攻击风险在API请求序列的表现为例:
如果业务遭到攻击,高风险流量组在请求序列上的表现,往往是集中请求几个主要攻击的业务接口。
黑产为了提高攻击效率,会使用自动化的协议攻击脚本或模拟点击脚本,这些脚本会遵循特定的攻击序列,因此攻击会出现API请求序列聚集的共性,从而导致某些请求序列的风险IP浓度明显异常;而正常用户的请求相对分散,基本不会出现明显聚集的情况。
如图是一起API攻击事件中请求序列的数据表现,可以看到有3个请求序列存在明显的风险IP异常情况,高风险浓度都超过50%,其中一个甚至超过了80%。
但这个风险IP浓度在API总请求量下并没有体现出来,如果依靠过往的API单一维度风险基线,就会产生漏判,而在关联情报引擎的请求序列这个维度下,可以判定风险存在。
除了请求序列,UA分布也是一个比较合适的分析维度:
虽然攻击者可以任意伪造UA,但很难伪造出跟业务流量总体数据一致的UA分布,因此高风险流量组和低风险流量组往往会出现UA分布存在明显差异的情况。
威胁猎人在近一年分析的1215起安全事件中,有78.4%的攻击风险可以依靠UA进行风险判断。
如图是一起API攻击事件中UA的数据表现,可以直观看到高风险流量在2个UA上存在明显聚集,高风险IP浓度甚至达到90%以上,但这个风险流量浓度在API总请求量下并没有体现出来,与前文同理,如果单纯依靠过往的API单一维度风险基线,就会产生漏判,而在关联情报引擎的UA特征维度下,可以判定风险存在。
结语
威胁猎人关联情报引擎在原有情报能力的基础上,融入了请求序列、UA等维度的特征分析,为API访问建立了多维度的动态安全基线,使得API风险识别的灵敏度和准确性大大提升,同时也为用户进行风险研判提供相关的依据,相比单纯从API维度检测风险IP浓度,更容易判别出攻击目的与风险类型,逻辑性与可解释性更强(比如通过异常的请求序列,更容易推断出攻击的场景和逻辑)。
目前,威胁猎人关联情报引擎已在多个互联网头部客户的API安全风险管理上落地应用,整体风险识别准确率持续稳定在98%以上,其表现获得客户的高度认可。
点击下方【阅读原文】
申请产品试用