Cloudflare發布API探索以及API濫用偵測服務,供用戶找出被濫用的API,新的API解決方案、傳統的速率限制以及DDoS保護,都是API縱深防禦的一環,但是由於API通常是自動化的服務,也難以預測每個API的使用量,因此Cloudflare發展出更智慧的偵測方法,並透過疊加這些方法,全面提升API安全性。

Cloudflare提到,API成為現今建構網頁服務的骨幹,提升了網際網路的可用性和可存取性,但是隨著技術的發展,API被攻擊濫用的表面也同時增加,傳統的速率限制和DDoS保護等安全工具,雖然仍是有效的保護手段,但是在部分情況,會遇到實際應用的問題,像是在限制API端點速率上,難以選擇恰當的閾值,在大規模的應用上容易發生造成問題,因為API可能受到分散式攻擊,處在速率低於閾值的情況,而也可能大量合法流量增加,使得速率超過閾值。

而傀儡程式管理(Bot Management)雖然也提供一定程度的防護,但這僅限於API供瀏覽器使用的情況,因為自動化機器人與人類的行為有很大的差異,因此傀儡程式管理可以輕易地區分不同,但是當API是供自動化程式使用時,企業就必須在一群機器人中,區分出壞的機器人流量。

為了解決這些問題,Cloudflare發展了新的API保護解決方案,這包含了API探索以及API濫用偵測兩部分。API探索主要功能,是要了解API的攻擊表面,能夠將api.example[.]com/login/237和api.example[.]com/login/415等看似不同的路徑,辨識為api.example[.]com/login/*,刪除用戶識別符號,這個折疊路徑的動作,官方稱之為路徑正規化,可以作為各種安全產品的基礎。

在探索API之後,Cloudflare以兩種方法來發現API濫用,第一種是以流量作為偵測異常的基礎,也就是說,系統會猜測每條路徑的速率閾值,來達成自適應速率限制,Cloudflare使用非監督式學習來選擇路徑的閾值,可以為每個API算出單獨的基準,並嘗試預測請求的意圖,像是當系統發現有個不正常次數的重置密碼請求,便會懷疑帳戶被攻擊者接管,讓管理者立刻採取行動。而且系統還能透過配置上下文,來偵測API可能出現的爆量流量,並且更改相關的閾值,避免合法流量受到阻擋。

另外,新的API濫用偵測方法,也會依照存取順序來偵測異常存取行為,像是網站的流量移動通常會經過一定的過程,終端用戶發送請求到A路徑,並且被重新導向B路徑,最終被導向C路徑,只要順著這個邏輯流程,就會被認為是正常流量,而直接存取C路徑,就可能是異常流量。Cloudflare同樣以非監督式學習,來學習這些邏輯流程,找出異常的存取行為。


熱門新聞

Advertisement