标签: 网络安全

一、API 安全：现代企业的必修课 在现代技术生态中，应用程序编程接口（API）扮演着不可或缺的角色。从数据共享到跨平台集成，API 成为连接企业系统与外部服务的桥梁。然而，伴随云计算的普及与微服务架构的流行，API 的使用量呈现爆发式增长，也使得它逐步演变为企业信息安全中的“高危地带”。 API 的核心功能是促进数据流转和应用集成，这既是它的优势，也使其成为网络攻击的主要目标。许多企业依赖 API 进行敏感数据的交互，包括用户信息、财务记录和企业业务数据等。一旦 API 出现漏洞或被不法分子利用，其造成的后果不仅仅是数据泄露，还可能波及企业的品牌形象与客户信任。 本文将通过案例分析揭示 API 安全面临的威胁，探讨 CNAPP（云原生应用保护平台）的保护能力，并详细介绍艾体宝 AccuKnox 的 API 安全解决方案。 二、API 安全漏洞频发，威胁不容忽视 近年来，随着物联网和大数据技术的迅速发展，许多新兴业态为人们的生活带来了便利。然而，这些技术应用也暴露出严重的安全隐患，尤其是围绕 API 的漏洞频发，直接威胁着数据隐私与信息安全。 案例一：智慧停车系统的安全隐患 近年来，“智慧停车”作为一种依托物联网和大数据技术的新业态，为居民出行带来了极大便利。然而，《财经调查》发现，北京的两家“智慧停车”系统存在严重安全隐患——专业技术人员仅凭车牌号即可在几公里外获取车辆位置及入场时间，无需身份验证。 更令人担忧的是，不法分子通过互联网接单，利用停车小程序数据接口的漏洞，实时获取车辆信息并共享至聊天群。目标车辆一旦进入停车场，几十分钟内便可能被安装 GPS 定位器，进一步威胁用户安全。 案例二：消费场景中的数据接口漏洞 API 安全问题不仅存在于停车场景中，在日常消费服务中同样屡见不鲜。目前，骚扰电话和各种骚扰信息已经成为消费者的普遍困扰，尤其是这些推销信息变得异常精准。专家指出，问题的根源在于 API，尤其是那些与数据传输相关的接口。 例如，在购买机票时，输入起点和终点的框就是一个 API 接口；当消费者选择航班并点击链接时，实际是在与后台进行数据交互。这些承载大量用户数据的接口成为不法分子攻击的薄弱环节，逐渐成为主要的攻击目标。 《财经调查》与网络安全专家联合，对多个消费场景中的数据接口进行了测试。测试过程包括三步：扫描接口、分析接口开放参数、检查身份验证与授权机制。测试结果显示，手机点餐、健身月卡购买、洗衣店服务、酒店预定和医疗信息等多个场景中均存在信息泄露的风险，攻击者可以轻易获取用户敏感信息。 API攻击的主要方式 上述提到的攻击方式属于未经授权的访问，攻击者试图绕过身份验证机制，访问受限的 API 资源，可能利用其他用户的凭据或 API 设计缺陷。除了这种方式外，常见的 API 攻击手段还有： API注入攻击 ：攻击者通过插入恶意代码或查询参数来试图改变API的行为,如SQL注入、命令注入等。 暴力攻击 ：攻击者大规模尝试用户名和密码,通过自动化工具来破解API的身份验证。 资源枚举 ：攻击者通过枚举或猜测API端点和资源来获取敏感信息,如发现隐藏的API版本或管理界面。 三、CNAPP：打造 API 安全的第一道防线 在上述案例中，API 漏洞带来了严重的安全威胁，攻击者可以利用这些漏洞轻易获取敏感信息，导致企业面临重大的财务和声誉损失。因此，API 安全已成为企业必须高度重视的问题。根据 Gartner 的预测，自 2022 年以来，API 已成为主要的攻击媒介，尤其是对于依赖微服务和云原生应用的企业来说，API 安全更是不容忽视。API 不仅关系到数据保护，还直接影响公司诚信与声誉，是黑客攻击云系统的主要入口。 为了应对这些风险，企业需要采取主动的安全策略，云原生应用保护平台（CNAPP）正是应对 API 安全问题的重要工具。CNAPP 提供了强大的静态和运行时保护功能，通过运行时控制、可观察性和漏洞管理等手段，保障已部署 API 的安全。然而，API 安全的根本在于从设计阶段就进行防护。安全的 API 设计理念应在开发初期就纳入其中，并结合安全的 SDLC（软件开发生命周期）和基础设施保护，做到防患于未然。OWASP 提供的最佳实践为开发人员提供了建立安全接口的有力指导。 CNAPP 平台通过以下四个方面为 API 提供全方位的安全支持： 1、PII 保护 API 漏洞可能导致私人信息泄露，尤其是涉及敏感财务、医疗或个人数据的组织。CNAPP 可以有效保护 API 免受攻击，防止个人可识别信息（PII）暴露给外部系统。 2、网络安全缓解 鉴于 API 是网络犯罪分子常利用的薄弱环节，CNAPP 提供的强有力的安全措施能够显著降低网络攻击的风险，改善整体云安全态势。统计数据显示，88% 的组织在 API 身份验证方面遇到挑战，CNAPP 的安全功能正是解决这一问题的关键。 3、合规性和审计准备 对于需要遵守监管合规要求的行业（如医疗、金融等），API 安全至关重要。CNAPP 提供的合规性保障能够确保组织满足如 HIPAA、PCI-DSS 和 GDPR 等严格的安全规范要求。 4、声誉和信任 强化 API 安全能够有效消除数据泄露和漏洞带来的风险，帮助企业维护品牌形象，并增强客户的信任感。通过实施 CNAPP 的保护措施，企业不仅能提升自身的安全防护能力，还能赢得客户对其服务的高度认可。 四、艾体宝AccuKnox：API 安全的创新解决方案 针对上述 API 安全挑战，艾体宝 AccuKnox 提供了一套创新的 CNAPP 平台解决方案，有效解决企业在保护 API 安全时面临的各种问题。 1.实时威胁检测与缓解 AccuKnox 的 API 保护解决方案具有高效的实时威胁检测功能，能够迅速识别和缓解恶意流量，保障关键业务交易的连续性。这些解决方案不仅能避免误报干扰操作，还能与云工作负载保护平台（CWPP）以及容器网络访问和策略解决方案结合使用，持续监控并防御针对可访问应用程序的网络威胁。 2.隐形 API 发现 在许多情况下，未被识别的 API 是由内部团队使用且未向安全团队报告的，这些隐形 API 成为潜在的安全隐患。AccuKnox 引入了隐形 API 发现技术，有效保护那些尚未被识别的 API 和云组件。这一能力补充了 CNAPP 平台，确保组织的安全覆盖面扩展到所有已知和未知的 API。 3.快速应用代码更改 在敏捷开发方法下，云部署的 API 应用程序会不断发生变化。AccuKnox 提供了强大的支持，确保在快速应用代码变更的同时，安全性得到保障。通过对 API 规范变化的质量保证（QA）管理，平台能够监控未经过审查的更改，防止因漏洞引发的合规性问题和数据泄露风险。特别是，它能够有效识别并解决 OWASP API 安全十大漏洞，确保快速响应并避免漏洞被恶意利用。 在全面应对 API 安全挑战时，AccuKnox 的解决方案涵盖了 API 生命周期的六个关键阶段，确保从发现到修复的每一步都严格把控： 阶段 描述 发现 持续发现组织的 API 攻击面，包括未经过安全审查而实施的隐形 API。 库存 从集中位置管理已管理和未管理的 API。 合规性 确保 API 符合组织的安全政策和行业最佳实践。对不合规的 API 进行通知，以便立即修复。 检测 实时检测 API 威胁，尽量减少误报，消除对第三方工具的依赖。 预防 在线预防针对关键任务应用程序的 API 网络攻击，无需依赖外部基础设施。 测试 在部署之前评估 API 的符合性、风险和敏感数据暴露情况。

运营技术(OT)网络用于许多行业，如制造、能源、运输和医疗运营。与传统IT网络不同，OT网络的中断或故障会直接影响物理资产、导致停机并危及安全。 由于其关键性，OT系统需要特殊的监控方法。用于监控的设备必须能够处理实时数据，并且在任何情况下都不能影响所部署网络的安全性和性能。 另一方面，OT网络通常由具有专有工业网络协议的传统系统组成，使用传统IT网络监控工具无法轻松监控。要获得这些数据的可见性，需要能够捕捉和解释这些独特协议的专用设备。 普渡模型 普渡工业控制系统（ICS）安全模型是一个框架，概述了保护敏感工业环境的多层次方法。该模型最初由普渡大学开发，并作为ISA-99标准的一部分由国际自动化学会(ISA)进一步完善，它定义了六个不同的网络分段层，每个层都旨在发挥保护和管理工业运行的特定功能。这些层级的范围从企业级一直到实际物理流程。 普渡模型的主要目标是在企业各级网络之间建立清晰、安全的界限，特别是将企业和生产运营分开。这种分隔有助于防止网络威胁在不同业务领域传播，从而增强整体安全态势。通过实施这种结构化方法，企业可以更好地管理和降低与网络安全威胁、未经授权的访问和数据泄露相关的风险，确保工业控制系统持续可靠地运行。 按照这一模式，以下是使用TAP和NPB监控工业网络的步骤： 步骤1：识别关键资产 监控工业网络的第一步是确定需要保护的关键资产。这包括对工业流程运行至关重要的所有设备和系统。 步骤2：划分网络 下一步，应根据普渡模型的分层级别对网络进行分段。这样可以更好地进行监控和分析，从而在需要调查时减少停机时间。 步骤3：部署TAP 网络TAP是一种硬件设备，用于被动监控网络流量，而不会中断流量。将其部署在网络中的战略点，如不同层级或区域之间，以捕获通过的所有数据。可为OT环境提供特殊的低延迟和24v型号。 我们曾撰文介绍如何使用铜缆TAP和IOTA加强OT网络监控。铜缆TAP（如艾体宝提供的产品）是一种非侵入式设备，可捕获单根电缆中的所有网络流量，提供独立的TX/RX流，不会引入延迟或干扰现有流量。这样就可以无缝、无交互地集成到现有网络中，这对于时间要求严格、中断可能会妨碍运营的工业环境来说至关重要。 步骤4：建立聚合层 网络数据包代理（NPB）是一种智能设备，可接收来自多个TAP的流量，并将其汇聚成单一信息流进行分析。它们还提供高级过滤功能，以减少不重要的数据。网络数据包代理还可以接收来自SPAN连接等其他来源的流量，从而为不同的部署方案提供灵活性。网络数据包代理可在向监控工具发送监控数据之前帮助优化数据，例如通过重复数据流。 步骤5：监控流量 收集到的流量可由IOTA通过多个仪表板进行分析，并转发给入侵检测系统(IDS)或网络检测与响应(NDR)等监控系统。 步骤6：识别异常 使用分析工具可以轻松检测到硬件性能下降、网络拥塞或组件故障等问题。然后，应用人员可以直接调查问题，并确定最佳行动方案。 第7步：优化和实施 根据从流量监控中获得的洞察力，可以做出改变，使网络和应用程序更具弹性。此外，在网络TAP和网络包代理层面，添加不同的捕获位置和创建新的过滤规则，也有助于更好地了解网络概况。 步骤8：定期更新 定期更新用于监控工业网络的安全工具至关重要。这将确保它们拥有最新的威胁情报和软件功能，并能检测和缓解新的攻击或问题。 通过遵循这些步骤，企业可以使用TAP和NPB有效监控其工业网络，同时遵守普渡模型的分层安全方法。这有助于保护关键资产免受网络威胁，确保平稳运行，并保持合规性。

10月，艾体宝联合Mend成功举办了一场主题为“开源软件供应链安全最佳实践”的研讨会。此次活动吸引了众多业内专家、技术领袖和企业代表参与，共同探讨在当今数字化转型浪潮中，企业如何应对开源软件供应链安全的挑战。会议围绕三大核心议题展开，包括“企业开源软件和开源大模型的合规管理”、“迎接开源挑战：企业的软件供应链治理之路”以及“Mend的开源软件安全最佳实践”，为与会者提供了宝贵的经验和前沿的技术洞察。 精彩演讲·干货满满 研讨会由艾体宝许总致辞开场，许总指出，随着开源软件在企业中的应用日益广泛，安全管理问题也愈加突出。许总表示，在与客户交流中，经常遇到有关开源软件安全管理的疑问与挑战，因此此次研讨会旨在深入探讨企业如何应对开源软件的安全风险与合规问题。无论您是开发人员、安全专家还是企业管理者，本次活动都将为您带来宝贵的见解，帮助企业构建更安全的数字化未来。 随后，Mend渠道总监Luis Bretones发表了开场致辞。他对艾体宝的邀请和本次活动的成功举办表示感谢，并介绍了Mend在应用程序安全领域的技术优势。Luis提到，Mend通过实时更新开发人员依赖项，精准修复环境中2%的关键漏洞，帮助企业高效管理应用程序风险。他还强调了此次研讨会对于Mend与中国市场合作的重要性，并期待与中国客户建立更紧密的合作关系。 此次研讨会邀请了多位行业专家带来精彩的演讲。中兴通讯的开源合规总监李老师分享了企业在开源软件和开源大模型的合规管理经验，探讨了如何确保开源软件的合规性。京东研发效能平台的DevOps专家刘老师则介绍了京东在软件供应链的开源治理实践，展示了如何通过有效的治理机制确保供应链安全。艾体宝科技有限公司的技术支持工程师屈工深入剖析了开源软件安全的最佳实践，为与会者提供了最新的技术洞察和实际操作经验。 演讲内容不仅干货满满，还为与会者提供了前沿的技术视角，涵盖了开源软件治理的多重维度，吸引了众多开发人员、安全专家及企业负责人前来交流学习，现场气氛热烈。 圆桌讨论·深入交流 研讨会的高潮环节是圆桌讨论，围绕“开源软件安全治理的意义”展开。刘老师与李老师结合京东和中兴通讯的实际案例，分享了开源软件安全治理从构想到实施的全流程经验。从实际场景出发，剖析了对于企业而言重视开源软件安全治理的意义。同时，针对嘉宾提出的开源软件安全治理成本较高的问题，专家们也在讨论中给出了自己的见解，即中小型企业可以借助更加智能全面的开源软件安全治理工具，及时扫描处理开源软件中的既存漏洞，主动应对开源安全和合规性风险，保证软件开发的顺利进行。 此次讨论进一步加深了与会者对开源软件安全治理的理解，也让大家对于开源软件安全治理工具和应用场景有了更多了解。 此次研讨会圆满落幕，与会嘉宾纷纷表示受益匪浅。通过这次深入的交流与探讨，企业不仅对开源软件供应链安全有了更深的认识，也得到了宝贵的实际操作经验，帮助他们更好地应对未来的挑战。艾体宝表示，未来将继续致力于推动主动开源安全的技术落地，与更多技术伙伴携手，助力企业业务更安全、更稳健地发展。

随着网络安全威胁的不断增加，了解并预防可能的攻击变得至关重要。 Blast-RADIUS 是一种严重影响 RADIUS 协议的安全漏洞，能够让攻击者绕过身份验证获取未经授权的访问权限。本篇文章将深入探讨该漏洞的工作原理、检测方法及应对措施，帮助您有效防范潜在的安全风险。 关于 Blast-RADIUS 的基础知识 Blast-RADIUS 是一种影响 RADIUS 协议（依据 RFC 2865）的安全漏洞。 它允许位于 RADIUS 客户端和服务器之间的中间人攻击者伪造一个有效的访问接受（access-accept）消息，来响应实际已经失败的认证请求。这种伪造使攻击者能够在无需猜测或强制破解密码和共享密钥的情况下，获得对网络设备和服务的访问权限。攻击者在请求中插入了一个恶意属性，导致合法服务器响应中的认证信息与攻击者伪造的消息发生碰撞。这使得攻击者能够将拒绝转变为接受，并添加任意的协议属性。然而，攻击者并不会获取任何用户凭据。该漏洞已在 CVE-2024-3596 中描述。 具体来说，该攻击是通过计算碰撞来攻击响应认证器的 MD5 签名。该攻击代表了一个协议漏洞，因此影响所有不使用 EAP 认证方法并通过 UDP 未加密工作的 RADIUS 实现。特别是，密码认证协议（PAP）和质询握手认证协议（CHAP）方法受到影响。 图1 对使用 PAP 方法进行 RADIUS 验证的 Blast-RADIUS 攻击 如果无法直接使用 TLS 或 DTLS 进行传输加密，可以使用 RFC 2869 中描述的可选 RADIUS 属性 "Message-Authenticator" 作为替代方法。 该方法为整个 RADIUS 数据包计算一个 HMAC-MD5 校验和。未通过此完整性检查的数据包必须被静默丢弃。根据当前的状态，没有共享密钥的情况下，HMAC-MD5 校验和无法被伪造。 如果在所有数据包中都要求使用有效的消息认证属性，这种攻击将变得不可能。然而，这个属性仅在 EAP 认证方法中是强制性的，而在 PAP 和 CHAP 中并不是。即使在 RFC 5080 中也只是定义了一个 "SHOULD"（建议使用）。 如何检查漏洞？ 要检查您的实现是否存在漏洞，可以捕获 RADIUS 服务器和 RADIUS 客户端之间的通信数据包，并根据受影响的协议特性进行筛选。我们可以使用 ProfiShark 或 IOTA 捕获数据包，基于 RADIUS 协议对 IOTA 进行预筛选，并使用 Wireshark 进行分析。需要捕获 RADIUS 客户端与服务器之间的数据包，例如，在图2所示的内联模式下进行捕获。 图2 在 RADIUS 客户端（交换机）和 RADIUS 服务器之间定位 IOTA 或 ProfiShark 使用 ProfiShark 进行捕获 在 ProfiShark Manager 中，我们需要在 "Network Ports" 选项卡中将 ProfiShark 设置为内联模式（即取消勾选 "Span Mode" 复选框，如图 3 所示），然后将其内联集成到我们的网络中（如图 2 所示）。 图3 在 ProfiShark Manager 中禁用 SPAN 模式，将 ProfiShark 内联集成到 RADIUS 客户端和 RADIUS 服务器之间 接下来，在 "Capture" 选项卡中，根据需要设置捕获目录，并通过点击 "Start Capture" 按钮开始捕获数据，直到我们获取到足够的数据为止。 图4 在 ProfiShark Manager 中设置捕获目录并开始捕获 使用 IOTA 进行捕获 Interface Configuration" 页面上，将 IOTA 的捕获接口设置为内联模式。 图5 将端口控制设置为内联模式 Capture Control" 页面上点击 "Start Capture" 按钮开始捕获数据。 图6 通过 "Capture Control" 页面上的 "Start Capture" 按钮开始捕获 现在，我们可以通过应用程序或协议栈过滤器对 RADIUS 协议进行过滤。最简单的方法是过滤 "APPLICATION" 属性，并将其值设置为 "RADIUS"（如图 7 所示），这样只会获取 RADIUS 数据包。另一种选择是通过 "PROTOCOL_STACK" 进行过滤，设置值为 "Ethernet | IPv4 | UDP | RADIUS"。 图7 过滤 RADIUS 数据包 在正确过滤协议后，我们可以滚动至概览仪表板的底部，直到看到流列表。接下来，我们需要选择要进一步分析的流，并点击左侧的下载按钮。 图8 可下载的流列表 分析易受攻击的执行方式 例如，我们可以使用 Wireshark 检查 RADIUS 请求中是否包含易受攻击的属性。首先，我们需要打开位于之前在 ProfiShark Manager 中配置的目录或从 IOTA 下载的文件夹中的 PCAPNG 文件。接下来，我们需要一个显示过滤器来获取 RADIUS Access-Requests（代码 1）、Access-Accepts（代码 2）、Access-Rejects（代码 3）和 Access-Challenges（代码 11），但不包括使用 EAP 方法或带有 "Message-Authenticator" 属性值对的 RADIUS 消息，因为它们不受此漏洞影响。为此，我们可以使用显示过滤器 “(radius.code in {1,2,3,11}) and not (radius.Message_Authenticator or eap)”，如图 9 所示。这样，我们只会获取受此协议漏洞影响的 RADIUS 数据包，并且可以看到受影响产品的源 IP 地址。 图9 在 Wireshark 中使用显示过滤器筛选潜在易受攻击的 RADIUS 数据包的截图 作为使用 “Message-Authenticator” 属性值对来实现解决方案的数据包示例，我们可以参考图10，其中展示了该解决方案的实现。 图10 Wireshark 中带有消息认证器属性/值对的 RADIUS 访问请求截图。在此情况下，它也是一个不易受攻击的 EAP 认证 结论 IOTA 和 ProfiShark 可以帮助我们轻松高精度地收集 RADIUS 数据包的包级数据并进行分析。Wireshark 通过使用上述显示过滤器支持我们高效分析收集到的数据，快速筛选出易受攻击的 RADIUS 实现。 作为应对 Blast-RADIUS 攻击的替代方案，可以使用 “Message-Authenticator” 属性值对，或者在 RADIUS 客户端到 RADIUS 服务器的传输过程中，通过 RadSec 或 IPSec 使用 TLS 传输加密来保护 RADIUS 数据包。

【招聘岗位】 网络安全工程师、信息安全工程师、网络安全解决方案工程师 划重点，网安技术岗位HC不限量！！！本次推荐岗位为安全方向。网安、信安、研究方向为网安的童鞋们可以闭眼入哦，小孩子才做选择，网安人快点来投递哇！ 【工作地点】 上海、苏州、广州 【面向对象】 25&24届国内外应届毕业生 【投递方式】 从官网投递/更多岗位详情请点击：https://job.hkaco.com/ 填写内推码【NTANNsU】为你的面试进程加速