聚焦影子API：恶意攻击出“新招”，企业制胜关键在哪里？

影子API是一种未经正式记录或支持的应用程序编程接口（API），它可以掩盖恶意行为从而导致大量数据丢失。

在企业运营过程中，大概会管理着数千个API，一旦有些API未通过代理（如API网关或Web应用程序防火墙）路由，也就意味着这部分API是不受监控、审计，且容易受到攻击。

由于影子API对安全团队不可见，因此为恶意行为者提供了一个可以利用漏洞的无防御途径。恶意行为者可以利用这些API，访问企业敏感信息。为了避免大量数据泄露和严重违反合规的可能性，识别和防御影子API已成为企业网络安全发展的关键任务。

导致API不可见的因素有很多，如API管理不善、缺乏治理、文档不足以及人员流动等。

还有些API是由于企业合并或收购而导致被遗忘的，如在系统集成过程中发生的库存损失，或是由于被收购公司没有建立完善的文档记录。

甚至有些是由于API本身安全性差或存在已知漏洞，但仍在使用。如在升级过程中，新旧版本软件一起运行，但由于人员交接不清，导致忘记删除旧版本。

恶意行为者可以利用影子API，绕过企业网络安全措施，访问敏感数据或破坏运营。他们还可以利用其执行各种攻击，如数据泄露、账户劫持、权限提升和收集相关信息。

通过影子API，恶意行为者可以避开身份验证和授权控制，以访问可用于发起复杂攻击的特权账户，且是在安全团队不知情的情况下进行的。

恶意行为者还可利用影子API检索敏感客户数据，如从销售报价和VIN编号中获取地址、信用卡信息，进行身份盗用。同时，他们还能够利用其进行远程管理，如解锁车辆、启动引擎，甚至禁用启动器。

随着企业对基于云端的服务变得十分依赖，发现影子API并保护企业数据和系统免受恶意行为者的攻击变得越来越重要。

企业可以通过监控网络流量中的可疑活动、定期执行漏洞扫描以及确保所有API请求都经过身份验证等措施进行发现。同时，在形成更大的安全风险前采取措施来保护数据安全。

一旦识别出影子API，企业应立即实施数据加密、限制访问权限和执行安全策略来缓解风险。此外，企业还应具有充足的日志记录系统，以便可以快速识别和解决任何未经授权的访问尝试。

由于影子API为恶意行为者提供了一种隐藏其活动的方法，对企业数据安全和隐私均造成威胁，是企业网络安全发展所面临的挑战。

同时随着恶意行为者的技术不断升级、攻击方式呈现多变、隐蔽、有目标性的特征，如何准确、快速地发现与预警是当下企业网络安全、数据安全迫切需要解决的问题。

从网络流量监控出发，安胜的“网鉴”流量高级威胁检测系统，是新一代的基于流量深度分析实现高级威胁感知产品。采用DPI检测技术、高效沙箱动态分析、丰富的特征库、二次研判模型、海量的威胁情报、机器学习等技术进行深度分析，发现网络入侵攻击、恶意代码传播、远程控制及渗透行为等攻击和控制行为。

参考自：https://thehackernews.com/2023/04/why-shadow-apis-are-more-dangerous-than.html