人工智能对API黑客的影响

欢迎大家围观小阑精心整理的API安全最新资讯，在这里你能看到最专业、最前沿的API安全技术和产业资讯，我们提供关于全球API安全资讯与信息安全深度观察。

本周，我们带来的分享如下：

• 一篇关于成为API安全专家的文章
• 一篇关于人工智能（AI）对API黑客影响的文章
• 一篇关于建立API跨职能团队的文章

如何快速成长为API安全专家

本周，首先介绍一篇来自The New Stack的文章，讲述如何成为API安全专家所需的技能，主要是需要像攻击者一样进行思考。作者认为，尽管许多安全专业人员对其API清单、威胁变化以及有可能出现的漏洞等情况有足够的了解，但如果他们不能像攻击者一样思考，他们的应对能力就会受到限制。只有像攻击者一样思考，防御者才能预测可能使用的攻击战略和攻击技术，从而能够采用相应的对策和防御措施。

编辑切换为居中

添加图片注释，不超过 140 字（可选）

作者建议安全专业人员学习威胁建模技术，从而更加深刻的了解他们的威胁环境。通常的威胁建模生命周期包括以下阶段：设定目标、分解目标、威胁识别、风险评估，最后是漏洞判定。作者提到两种流行的威胁建模方法：Microsoft的STRIDE方法和DREAD方法。

编辑切换为居中

添加图片注释，不超过 140 字（可选）

• S：欺骗（认证、会话管理安全、口令安全、未公开接口等）
• T：篡改（访问通道安全、数据后台校验、完整性校验）
• R：抵赖（认证、日志审计等）
• I：信息泄露（敏感数据加密与保护，包括安全传输、加密算法安全、敏感数据加密存储、证书可替换、隐私保护、合法监听等）
• D：拒绝服务（协议健壮性、fuzz测试等）
• E：权限提升（越权测试、权限最小化、访问控制、配置管理等）

STRIDE威胁建模本身对组织很有用，它也是一种更广泛意义的威胁分析方法，可为安全团队提供一个实用的框架，用于定义安全要求、创建应用程序图、识别威胁、减轻威胁、并验证威胁已得到缓解。

编辑切换为居中

添加图片注释，不超过 140 字（可选）

DREAD被认为是STRIDE模型的一个附加组件，该模型使建模人员可以在确定威胁后对其进行排名。对于每个潜在威胁，DREAD代表六个问题：

• D-危害性（Damage）：如果被攻击了，会造成怎样的危害？
• R-重现性（Reproducibility）：攻击后恢复运营的简易度，重现攻击有多容易？
• E-难度系数（Exploitability）：实施此项攻击的难度是如何？
• 受影响用户数（Affexted users）：有多少用户会受到此项攻击影响？
• D-发现系数（Discoverability）：这项威胁是否容易被发现，查找漏洞有多容易？

小阑建议：

无论选择哪种框架，都应遵循一些实践方法。但最重要的（通常也是很难做到的）是将威胁建模作为系统开发过程中的优先事项。如果能在项目开发伊始就做到这一点，以后可以省去很多麻烦，因为安全性可以被“植入”到应用程序或系统中。

首先需要知道什么样的设计是“安全的”，安全设计原则：

• 开放设计——假设攻击者具有源代码和规格。
• 故障安全预设值——出故障时自动关闭，无单点故障。
• 最低权限——只分配所需的权限。
• 机制经济性——保持简单、易懂的特性。
• 分离权限——不允许根据单一条件执行操作。
• 总体调节——每次检查所有内容。
• 最低公用机制——注意保护共享资源。
• 心理可接受性——是否将使用它？

更进一步，设计完的系统应具有哪些安全相关的属性：

• 机密性——数据只应限具有权限的人员访问。
• 完整性——数据和系统资源只限适当的人员以适当的方式进行更改。
• 可用性——系统在需要时一切就绪，可以正常操作。
• 身份验证——建立用户身份（或者接受匿名用户）。
• 授权——明确允许或拒绝用户访问资源。
• 认可——用户无法在执行某操作后否认执行了此操作。

人工智能（AI）对API黑客的影响

这是一篇来自Dana Epp的精彩文章，重点关注人工智能（AI）对API黑客的影响。

首先，Dana提出了一个警告，主要针对在开发过程中使用AI（通常是ChatGPT或BingChat）的组织。他强调了亚马逊警告员工不要在编码过程中过多使用ChatGPT作为帮助，以免专有源代码落入竞争对手的手中。

其次他提出，担心GitHub Copilot可能会泄漏闭源知识产权，即使底层存储库设置为私有访问，也会存在相同的问题。这是由于Copilot分析和存储代码片段，已经出现在AI生成的代码例子中。

第三，他提出，AI生成的代码本身可能是恶意的，如果不做测试等操作，不能默认为信任。研究发现，在GitHub上的报告，2017年至2021年间针对已知漏洞（CVE）的概念验证（PoC）利用工具约10%本身可能是恶意的。

红队现在正在探索，使用攻击性AI来自动化侦察、制定个性化的身份冒用攻击、规避安全措施、生成恶意内容或代码、优化攻击策略，甚至自我传播或自我修复。

例如，攻击性AI可以利用自然语言处理（NLP）生成具有说服力的钓鱼电子邮件或社交媒体帖子，诱使受害者点击恶意链接或下载恶意软件；或者利用侦察发现的相关漏洞，生成特意设计的恶意有效负载。

根据Darktrace的一份报告，96%的IT领导者预计攻击性AI的频率和复杂性在不久的将来会增加。此外，60%的IT领导者认为，仅靠人类无法抵御攻击性AI的攻击。目前，网络安全软件供应商正在引导高管采取防御性AI策略来对抗攻击性AI攻击。

Dana介绍了目前市场上可以在安全防御背景下使用AI的解决方案：

• 异常检测系统，用于监视API流量模式并标记可疑活动或与基线的偏差；
• 行为分析系统，可以根据API用户和客户端的属性及操作对其进行分析；
• 内容分析系统，使用自然语言理解（NLU）技术，检查API有效负载（如：JSON或XML标记）是否存在恶意代码或数据泄漏；
• 响应生成系统，使用自然语言生成（NLG）技术，自动阻止恶意请求或响应。

小阑解读：

根据文章的内容，小阑猜测，AI对未来安全防御解决方案有一定帮助：

• 动态适应性：可以根据不断变化的威胁和环境来自动更新规则，它会不断学习和适应新的攻击方式，以保持安全防御的有效性。
• 扩展性：能够在多层网络和大量数据上进行弹性扩展，而不会影响安全防御的性能和准确性，可以轻松应对庞大的网络和海量的数据流量，确保安全防护的高效运行。
• 预测性：能够预测潜在的攻击行为，并主动采取行动来保护目标；一旦发现可能的攻击迹象，就自动采取相应安全措施来避免损害。

建立API跨职能团队

《福布斯》杂志有一篇关于API开发中跨功能团队组件的文章。文章指出，全球API管理市场价值庞大，预计到2028年将达到836亿美元。作者提出，在API创建过程中需要应用更成熟的流程，包括在生态系统中创建更多的角色。

文章的主要观点是，跨功能团队可以帮助实现API经济的增长。尽管API经济有很大的价值，但现如今很多组织还没有真正获得投资回报和价值。如果可以构建一个更多样化的API生态系统，那么可以带来的好处是：

• 更好的API设计：良好的设计可以确保API安全性、可扩展性，并保证与业务目标相一致。
• 提高API的使用率：让利益相关者参与过程，可以增加API的使用率。
• 更有效的API货币化：多元化的团队可以提供更深入的见解，帮助组织了解如何将API变现并落地实践。
• 增强API的安全性：多元化的团队对提升API安全性有积极影响，团队经验多样性可以带来更全面的API安全解决方案；在扩大API安全团队时，应选择多样化的技能，并确保在团队内部建立协作文化。

文章确定了八个关键角色，支持重点领域：

• 提供商：专注于自动化的API规划、设计、构建和运行。
• 消费者：专注于发现和使用API。
• API产品经理和业务分析师：负责使API与业务目标保持一致。
• API平台团队：负责构建和扩展良好的API计划。
• 支持和DevOps：监控API以增强可靠性和稳定性。
• 治理和安全团队：确保API符合合规要求并具有安全性。
• 运维团队：将API与更广泛的IT环境集成。
• 领导者：关注API的成熟度、价值和投资回报率。

小阑分析：

API安全跨职能团队可以补充按全生态链的完整性：

• 综合的安全视角：跨职能团队由不同背景和技能的成员组成，例如开发人员、安全专家、运维人员等。这种多样性可以确保在API安全方面拥有更全面的视角和洞察力，从而更好地识别和解决潜在的安全漏洞和风险。
• 更全面的安全防御措施：跨职能团队的多样性可带来不同的专业知识和经验，从而能够提供更全面的安全防御措施。各个成员可以共同思考和贡献各自的见解，以确保API系统在各个层面（如网络安全、身份验证、数据隐私等）都具备强大的安全性能。
• 高效的问题解决和响应：跨职能团队可以通过有效的协作和沟通，更快地发现并解决API安全方面的问题。不同成员之间的密切合作可以促进信息共享和知识转移，使团队能够更迅速地响应和处理安全事件，并降低潜在的风险和损失。
• 安全文化的建立：跨职能团队的存在可以促进整个组织内部建立起安全意识和安全文化。通过团队成员之间的合作和知识分享，其他部门和个人可以更好地理解和重视API安全，并采取适当的措施来保护API系统和数据的安全。

感谢 APIsecurity.io 提供相关内容