理解API及攻击者如何滥用它们窃取数据

简单地说，应用程序编程接口）是机器、云工作负载、数字化转型和自动化的推进，其使用率还在不断攀升。API与机器身份密切相关，因为任何访问重要数据或受保护服务的编程接口都需要身份认证，例如密码、API密钥或其他机密信息。

尽管API在现代技术环境中不可或缺，但如果未能通过机器身份安全的最佳实践进行保护，它们可能成为潜在的攻击媒介。攻击者可以利用API暴露敏感数据（如客户名单、个人身份信息（PII）和信用卡信息），并在应用程序之间实现恶意通信。

网络犯罪分子如何滥用和利用API

网络犯罪分子不断尝试窃取和滥用关键机密信息，这些信息允许机器冒充合法身份运行API。一旦成功，他们可以伪装成合法用户，获取更高的访问权限和特权，从而实现恶意目的。例如，他们可以停止或启动虚拟服务器，复制数据库，甚至清除整个云工作负载。

开发人员在快速开发的压力下，往往会采取一些捷径，比如将API密钥和其他机密信息硬编码到代码中。这种行为为攻击者提供了可乘之机。例如，2022年优步漏洞事件中，攻击者利用嵌入PowerShell脚本中的硬编码机密，获得了高级访问权限并进一步升级了权限。

此外，许多安全团队将API连接的第三方服务进一步加剧了这一问题。攻击者还将目标转向软件开发和测试环境，不安全的API设计和功能显著增加了软件供应链的风险。

同一研究还显示，组织仅有信心预防26%的API攻击，并认为只有21%的此类攻击能够被有效检测和控制。随着API对关键资源的访问范围不断扩大，组织需要重新审视其API安全策略。

当前，大多数API的顶级安全风险都与身份相关。然而，许多组织的关键身份安全控制（如最低权限原则和持续监控）仅适用于人类用户。这导致应用程序、脚本和其他机器身份所使用的机密信息（数量比人类身份多45倍）暴露在外。

攻击者可以通过网络钓鱼攻击窃取API密钥和其他机密信息，或者在应用程序、自动化脚本和DevOps工具中找到这些信息。此外，他们还可能通过GitHub等公共代码库获取这些机密，从而访问敏感的公司资产。人工智能（AI）的进步进一步助长了基于身份的攻击，使其实现自动化并大规模扩展。

为了保护API及其他非人类身份，组织需要采取集中式机密管理策略。这不仅能够有效防御网络攻击，还可以提升运营效率，满足审计和合规要求，并推动创新发展。

通过实施集中式机密管理，组织可以更好地控制API密钥和其他机密信息的使用，确保其安全性。同时，这种方法还能够帮助组织简化API管理流程，减少人为错误的发生。

正确保护API和机器身份是现代企业安全的核心环节。随着API在数字化转型中的作用日益重要，组织需要采取更为全面和主动的安全措施，确保其关键资源免受攻击。

原文链接: https://www.cyberark.com/resources/blog/understanding-apis-and-how-attackers-abuse-them-to-steal-data