Cloudflare发布API探索以及API滥用侦测服务,供用户找出被滥用的API,新的API解决方案、传统的速率限制以及DDoS保护,都是API纵深防御的一环,但是由于API通常是自动化的服务,也难以预测每个API的使用量,因此Cloudflare发展出更智能的侦测方法,并通过叠加这些方法,全面提升API安全性。
Cloudflare提到,API成为现今构建网页服务的骨干,提升了互联网的可用性和可访问性,但是随着技术的发展,API被攻击滥用的表面也同时增加,传统的速率限制和DDoS保护等安全工具,虽然仍是有效的保护手段,但是在部分情况,会遇到实际应用的问题,像是在限制API端点速率上,难以选择恰当的阈值,在大规模的应用上容易发生造成问题,因为API可能受到分布式攻击,处在速率低于阈值的情况,而也可能大量合法流量增加,使得速率超过阈值。
而傀儡程序管理(Bot Management)虽然也提供一定程度的防护,但这仅限于API供浏览器使用的情况,因为自动化机器人与人类的行为有很大的差异,因此傀儡程序管理可以轻易地区分不同,但是当API是供自动化程序使用时,企业就必须在一群机器人中,区分出坏的机器人流量。
为了解决这些问题,Cloudflare发展了新的API保护解决方案,这包含了API探索以及API滥用侦测两部分。API探索主要功能,是要了解API的攻击表面,能够将api.example“.”com/login/237和api.example“.”com/login/415等看似不同的路径,识别为api.example “.”com/login/*,删除用户标志符,这个折叠路径的动作,官方称之为路径范式,可以作为各种安全产品的基础。
在探索API之后,Cloudflare以两种方法来发现API滥用,第一种是以流量作为侦测异常的基础,也就是说,系统会猜测每条路径的速率阈值,来完成自适应速率限制,Cloudflare使用非监督式学习来选择路径的阈值,可以为每个API算出单独的基准,并尝试预测请求的意图,像是当系统发现有个不正常次数的重置密码请求,便会怀疑账户被攻击者接管,让管理者立刻采取行动。而且系统还能通过配置上下文,来侦测API可能出现的爆量流量,并且更改相关的阈值,避免合法流量受到阻挡。
另外,新的API滥用侦测方法,也会依照访问顺序来侦测异常访问行为,像是网站的流量移动通常会经过一定的过程,终端用户发送请求到A路径,并且被重定向B路径,最终被导向C路径,只要顺着这个逻辑流程,就会被认为是正常流量,而直接访问C路径,就可能是异常流量。Cloudflare同样以非监督式学习,来学习这些逻辑流程,找出异常的访问行为。