API是連接現代應用程序的基石，越來越多的企業意識到API的重要性，其數量迎來爆發式增長，但API面臨的安全威脅卻比API調用增長更加迅猛。Salt Security于今年2月發布的報告顯示，2022年有91%的公司存在與API相關的安全問題，80%的組織認為他們的安全工具不能有效地防止API攻擊。

為了強調API安全的重要性，OWASP在2019年首次提出了API Security Top 10，并于2023年發布了API Security Top 10的內容更新。此次更新內容專門增加了“API缺少對自動化威脅的防護”內容，這說明在實際應用中，很多企業API缺乏對自動化攻擊的防護措施。

Cequence Security在最新發布的2022年度API安全報告中也指出，API已成為主要攻擊媒介，而自動化攻擊則是API安全的主要威脅。

事實上，隨著人工智能、機器學習等技術的發展，Bot自動化攻擊手段變得越來越普遍和復雜。Bot自動化攻擊可以快速、準確地掃描API漏洞或對API發起攻擊，對系統造成嚴重威脅。

那么，究竟什么是針對API的Bot自動化攻擊？這種攻擊是如何發生的，以及為什么會變得越來越普遍？

什么是針對API的Bot自動化攻擊？

所謂Bot，是Robot（機器人）的簡稱，一般指無形的虛擬機器人，也可以看作是自動完成某項任務的智能軟件。它可以通過工具腳本、爬蟲程序或模擬器等非人工手動操作，在互聯網上對 Web網站、APP應用、API接口進行自動化程序的訪問。

Bot自動化攻擊 (Bot Attack)，是指通過工具或者腳本等程序，對應用系統進行的攻擊或探測，它不僅僅是一種自動化的應用漏洞利用的攻擊行為，更多是利用業務邏輯漏洞的威脅行為，甚至是模擬合法業務操作，躲避現有安全防護手段的自動化威脅行為。

因此，攻擊者可以通過完全合法有效的API調用實現Bot自動化攻擊，操縱、欺詐或破壞API，以達到獲取核心系統權限、竊取敏感信息、植入惡意軟件、發起DoS攻擊等目的。

當利用這些Bot自動化程序專門攻擊API時，或者當攻擊者利用Bot來增加API攻擊的規模、影響和復雜性時，這就是針對API的Bot自動化攻擊。

為什么這類攻擊越來越多？

多年來Bot自動化程序一直被用于網絡攻擊，但是為什么當它被用于API攻擊時會引起如此高的關注呢？這是由于API的廣泛使用和鏈接為惡意攻擊者提供了廣闊的攻擊面，一旦成功攻擊API，就能獲取大量企業核心業務邏輯和敏感數據。

• API更容易被攻擊

與針對Web應用程序的Bot自動化攻擊相比，針對API的Bot自動化攻擊更容易且更具成本效益。

API的保護程度通常不及網站和移動應用程序。有業內人士認為，如今的API安全性就如同應用程序安全性在2009年的發展水平。一旦攻擊者分解了一個Web應用程序并弄清楚了它的通信方式，他們就可以可以使用和Web API相同基礎結構的攻擊機制。

同時，攻擊者可以隨時租用價格低廉的Bot、僵尸網絡等攻擊工具，不需要太多資源或深厚的技術知識就可以發起針對API的Bot自動化攻擊。

而API更加匿名，API請求不經過瀏覽器或原生應用程序代理的傳統路徑，它們充當可以訪問資源和功能的直接管道，這使得API成為攻擊者有利可圖的目標。

• 影子API、僵尸API
  影子API是目前API安全中最為突出的問題，由于API的使用率激增，企業往往無法全部跟蹤管理，因此一些API無法及時進行維護更新，就會成為被攻擊者公開利用的漏洞。
  
  與影子API類似，僵尸API對組織來說也是一個巨大的安全風險，通常指的是舊的、很少使用的API版本。由于僵尸API很少得到安全團隊的注意，所以也給了犯罪分子惡意利用的可乘之機。
  
  根據Cequence Security最新發布的2022年度API安全報告顯示，2022年影子API激增900%，近七成（68%）的受訪企業暴露了影子API，凸顯了API可見性的缺乏。僅在2022年下半年，就有約450億次搜索影子API的嘗試，比2022年上半年的50億次嘗試增加了900%。
  
  當攻擊者利用Bot自動化工具來映射企業的IT架構，并窺探影子API、僵尸API時，整個攻擊過程會變得更加快速、簡單和敏捷。
  
• API業務邏輯缺陷
  開發人員傾向于使用通用規則集，并將API保留為默認配置，而不考慮業務邏輯，這會產生業務邏輯缺陷。
  
  即便提前通過安全設計審查預防API業務邏輯缺陷，隨著API承載的邏輯越來越復雜，API不可避免的存在著可以被利用的Bug或邏輯缺陷，而且每一個 API 都不同，產生的漏洞邏輯也是獨一無二。
  
  許多掃描工具都依賴于已知規則和行為識別風險，這種方法很難檢測或阻止攻擊者利用每個API中獨特的業務邏輯缺陷來進行的攻擊。利用Bot自動化工具，攻擊者可以基于這些漏洞造成嚴重破壞，同時通過看似合法的API請求逃避檢測。
  
• Bot自動化程序大幅提升攻擊效率
  相比人工，Bot自動化程序有著難以匹敵的速度。攻擊者可以利用Bot自動化程序，在未經身份驗證的情況下向端點發送大量API請求，暴力破解并快速填充憑證，在短時間內收集大量數據。
  
  Bot自動化攻擊還可以被攻擊者用來分散安全團隊的注意力。例如，攻擊者可能會利用僵尸網絡觸發數千個安全警報，以誤導安全團隊跟進。
  
• Bot自動化攻擊更加隱蔽
  API具備開放性的特點，攻擊者可以和正常用戶一樣來調用API，導致攻擊者的流量隱藏在正常用戶的流量里面，其攻擊行為會更加隱蔽、更難發現。
  
  事實上，Bot自動化工具被用于API攻擊，也是因為它非常隱蔽且能避免被高級的安全工具檢測到。攻擊者往往會利用大量的、低成本的Bot自動化工具，偽裝成正常的請求流量，繞過傳統安全策略對敏感數據進行低頻慢速的爬取。這些Bot自動化程序能夠在沒有人干預的情況下，根據編程規則和時間推移學習，隨時隨地做出決策。
  
• 傳統安全方案失效
  當利用Bot通過合法帳戶進行API攻擊時，傳統WAF和API網關安全方案卻日益疲軟。
  
  此類攻擊多以合法身份登錄、模擬正常操作、以多源低頻請求為主，而傳統WAF安全主要基于攻擊特征與行為規則實行被動式防御,在和真人操作幾乎無異的Bot攻擊行為面前已逐漸失效；同樣，提供身份認證、權限管控、速率限制、請求內容校驗等安全機制的傳統API網關，在遇到此類情況時幾乎無用武之地。
  
  同時，傳統WAF和API網關安全方案的部署與維護成本過高，這些方案并不是專門為保護API設計的，在阻止API的Bot自動化攻擊方面效果更差。
  
  如何保護API免受Bot自動化攻擊？
  
  毫無疑問，2023年惡意Bot、高級Bot自動化威脅工具將立足效率高、影響力大，防護薄弱API的發展趨勢將愈加明顯。
  
  瑞數信息認為，以下4種方式可以有效保護API免受Bot自動化攻擊：
  
• API資產管理
  引入API資產管理，借用API安全工具通過對訪問流量進行分析，自動發現流量中的API接口，對API接口進行自動識別、梳理和分組。同時，從API網關上獲取API注冊數據，與API資產進行對比，從而發現未知API接口。
  
• API攻擊防護
  綜合利用AI、大數據、威脅情報等技術，持續監控并分析流量行為，有效檢測威脅攻擊，對API安全攻擊進行實時防護。同時，對API請求參數進行合規管控，對不符合規范的請求參數實時管控。
  
• 敏感數據管控
  對API傳輸中的敏感數據進行識別和過濾，并對敏感數據進行脫敏或者實時攔截，規避數據安全風險。
  
• 訪問行為管控

建立多維度訪問基線和API威脅建模，對API接口的訪問行為進行監控和分析。一方面，監控基線偏離狀況，針對高頻情況等進行防護，防止高頻情況等造成的API性能瓶頸；另一方面，高效識別異常訪問行為，避免惡意訪問造成的業務損失。同時，從API網關上獲取API認證和鑒權數據，防止未授權的API調用，保障API接口只能被合法用戶訪問。

目前，國內針對API防護已經有了完善的創新安全方案。瑞數信息作為中國動態安全技術的創新者和Bots自動化攻擊防御領域的專業廠商，推出的“瑞數API安全管控平臺”覆蓋了API安全防護管理全生命周期，可以有效應對包括Bot自動化攻擊在內的API安全威脅。

“瑞數API安全管控平臺”作為國內首批通過中國信通院“云原生API安全能力”評估的API安全產品，已廣泛應用于金融、快消、零售、運營商、能源等多個行業，為企業實現API安全管控和數據安全提供有力支持。