AI가 API 보안을 개선하는 방법

API는 직원, 파트너, 고객 및 기타 이해 관계자가 디지털 에코 시스템에서 애플리케이션, 데이터 및 비즈니스 기능에 액세스 할 수 있도록 지원함으로써 조직의 디지털 혁신 이니셔티브의 핵심 보석이되었습니다. 따라서 해커가 이러한 중요한 기업 자산에 대한 공격을 증가시킨 것은 놀라운 일이 아닙니다.

불행히도 문제가 악화 될 것 같습니다. Gartner는 "2022 년까지 API 남용이 가장 빈번한 공격 벡터가되어 엔터프라이즈 웹 애플리케이션에 대한 데이터 침해를 초래할 것"이라고 예측했습니다.

많은 기업이 인증, 권한 부여 및 조절과 같은 메커니즘을 제공하는 API 관리 솔루션을 구현하여 대응했습니다. 이는 API 에코 시스템에서 API에 액세스하는 사용자와 빈도를 제어하기위한 필수 기능입니다. 그러나 조직은 내부 및 외부 API 전략을 구축 할 때 동적 인공 지능 (AI) 기반 보안을 구현하여 API에 대한보다 정교한 공격의 증가를 해결해야합니다.

이 문서에서는 조직이 API 에코 시스템 전체에서 보안, 무결성 및 가용성을 보장하기 위해 통합해야하는 API 관리 및 보안 도구를 검토합니다.

규칙 기반 및 정책 기반 보안 조치

정적 또는 동적 방식으로 수행 할 수있는 규칙 기반 및 정책 기반 보안 검사는 모든 API 관리 솔루션의 필수 부분입니다. API 게이트웨이는 API 액세스의 주요 진입 점 역할을하므로 일반적으로 보안, 속도 제한, 조절 등과 관련된 정책 및 규칙에 대해 들어오는 요청을 검사하여 정책 시행을 처리합니다. 그들이 가져 오는 가치.

정적 보안 검사

정적 보안 검사는 일반적으로 미리 정의 된 규칙 또는 정책 집합에 대해 메시지 데이터의 유효성을 검사하기 때문에 요청 볼륨이나 이전 요청 데이터에 의존하지 않습니다. SQL 주입, 일관된 구문 분석 공격, 엔터티 확장 공격 및 스키마 감염을 차단하기 위해 게이트웨이에서 다양한 정적 보안 검색이 수행됩니다.

한편 정적 정책 검사는 무엇보다도 페이로드 스캔, 헤더 검사 및 액세스 패턴에 적용될 수 있습니다. 예를 들어 SQL 인젝션은 페이로드를 사용하여 수행되는 일반적인 유형의 공격입니다. 사용자가 JSON (JavaScript Object Notation) 페이로드를 보내는 경우 API 게이트웨이는 사전 정의 된 JSON 스키마에 대해이 특정 요청의 유효성을 검사 할 수 있습니다. 게이트웨이는 메시지 내의 유해한 데이터 또는 텍스트 패턴으로부터 보호하기 위해 필요한 경우 콘텐츠의 요소 또는 기타 속성 수를 제한 할 수도 있습니다.

동적 보안 검사

정적 보안 검사와 달리 동적 보안 검사는 항상 시간이 지남에 따라 달라지는 항목을 검사합니다. 일반적으로 여기에는 기존 데이터를 사용하여 내린 결정으로 요청 데이터의 유효성을 검사하는 것이 포함됩니다. 동적 검사의 예로는 액세스 토큰 유효성 검사, 이상 감지 및 조절이 있습니다. 이러한 동적 검사는 게이트웨이로 전송되는 데이터 볼륨에 크게 의존합니다. 때로는 이러한 동적 검사가 API 게이트웨이 외부에서 발생하고 결정이 게이트웨이로 전달됩니다. 몇 가지 예를 살펴 보겠습니다.

공격자가 API에 액세스 할 때마다 가장 먼저하는 일은 최대한 많은 데이터를 읽는 것이기 때문에 제한 및 속도 제한은 공격의 영향을 줄이는 데 중요합니다. API 요청을 제한 (즉, 데이터에 대한 액세스 제한)하려면 특정 기간 내에 수신 요청 수를 유지해야합니다. 요청 수가 해당 시점에 할당 된 양을 초과하면 게이트웨이가 API 호출을 차단할 수 있습니다. 속도 제한을 통해 주어진 서비스에 허용되는 동시 액세스를 제한 할 수 있습니다.

입증

인증은 API 게이트웨이가 API를 고유하게 호출하는 각 사용자를 식별하는 데 도움이됩니다. 사용 가능한 API 게이트웨이 솔루션은 일반적으로 기본 인증, OAuth 2.0, JWT (JSON 웹 토큰) 보안 및 인증서 기반 보안을 지원합니다. 일부 게이트웨이는 일반적으로 XACML (eXtensible Access Control Markup Language) 스타일 정책 정의 언어를 기반으로하는 추가적인 세분화 된 권한 유효성 검사를 위해 그 위에 인증 레이어를 제공합니다. 이는 API가 각 리소스에 대해 서로 다른 수준의 액세스 제어가 필요한 여러 리소스를 포함 할 때 중요합니다.

기존 API 보안의 한계

인증, 권한 부여, 속도 제한 및 제한에 대한 정책 기반 접근 방식은 효과적인 도구이지만 해커가 API를 악용 할 수있는 균열을 여전히 남깁니다. 특히 API 게이트웨이는 여러 웹 서비스에 앞장서고 관리하는 API에는 많은 세션이 자주로드됩니다. 정책과 프로세스를 사용하여 이러한 모든 세션을 분석하더라도 게이트웨이가 추가 계산 능력없이 모든 요청을 검사하기는 어려울 것입니다.

또한 각 API에는 고유 한 액세스 패턴이 있습니다. 따라서 한 API에 대한 합법적 인 액세스 패턴은 다른 API에 대한 악의적 인 활동을 나타낼 수 있습니다. 예를 들어, 누군가가 온라인 쇼핑 애플리케이션을 통해 항목을 구매하면 구매하기 전에 여러 번 검색을 수행합니다. 따라서 단시간 내에 검색 API에 10 ~ 20 개의 요청을 보내는 단일 사용자는 검색 API에 대한 합법적 인 액세스 패턴이 될 수 있습니다. 그러나 동일한 사용자가 구매 API에 여러 요청을 보내는 경우 액세스 패턴은 도난당한 신용 카드를 사용하여 최대한 많은 인출을 시도하는 해커와 같은 악의적 인 활동을 나타낼 수 있습니다. 따라서 올바른 응답을 결정하기 위해 각 API 액세스 패턴을 개별적으로 분석해야합니다.

또 다른 요인은 상당한 수의 공격이 내부적으로 발생한다는 것입니다. 여기서 유효한 자격 증명과 시스템 액세스 권한을 가진 사용자는 해당 시스템을 공격하는 능력을 활용합니다. 정책 기반 인증 및 권한 부여 기능은 이러한 종류의 공격을 방지하도록 설계되지 않았습니다. 

여기에 설명 된 공격으로부터 보호하기 위해 API 게이트웨이에 더 많은 규칙과 정책을 적용 할 수 있다고해도 API 게이트웨이에 대한 추가 오버 헤드는 허용되지 않습니다. 기업은 API 게이트웨이의 처리 지연을 감내 해달라고 요청함으로써 진정한 사용자를 좌절시킬 여유가 없습니다. 대신 게이트웨이는 사용자 API 호출을 차단하거나 느리게하지 않고 유효한 요청을 처리해야합니다.

AI 보안 계층 ​​추가 사례

정책 기반 API 보호로 인한 균열을 채우기 위해 현대 보안 팀은 동적 공격과 각 API의 고유 한 취약성을 감지하고 대응할 수있는 인공 지능 기반 API 보안이 필요합니다. AI 모델을 적용하여 모든 API 활동을 지속적으로 검사하고보고함으로써 기업은 기존 방법이 놓친 API 인프라 전반에서 비정상적인 API 활동과 위협을 자동으로 발견 할 수 있습니다.

표준 보안 조치로 이상과 위험을 감지 할 수있는 경우에도 발견하는 데 몇 달이 걸릴 수 있습니다. 반대로, 사용자 액세스 패턴을 기반으로 사전 구축 된 모델을 사용하면 AI 기반 보안 계층을 통해 거의 실시간으로 일부 공격을 탐지 할 수 있습니다.

중요한 것은 AI 엔진이 일반적으로 API 게이트웨이 외부에서 실행되고 결정을 전달한다는 것입니다. API 게이트웨이는 이러한 요청을 처리하기 위해 리소스를 소비 할 필요가 없기 때문에 일반적으로 AI 보안을 추가해도 런타임 성능에 영향을주지 않습니다.

정책 기반 및 AI 기반 API 보안 통합

API 관리 구현에 AI 기반 보안을 추가 할 때 보안 적용 지점과 결정 지점이 있습니다. 일반적으로 이러한 단위는 필요한 높은 계산 능력으로 인해 독립적이지만 지연 시간이 효율성에 영향을주지 않아야합니다.

API 게이트웨이는 API 요청을 가로 채고 다양한 정책을 적용합니다. 여기에는 결정 지점에 대한 각 요청 (API 호출)의 속성을 설명하고 보안 결정을 요청한 다음 게이트웨이에서 해당 결정을 적용하는 보안 적용 지점이 연결되어 있습니다. AI로 구동되는 결정 지점은 각 API 액세스 패턴의 동작을 지속적으로 학습하고 비정상 동작을 감지하며 요청의 다양한 속성에 플래그를 지정합니다.

필요에 따라 의사 결정 지점에 정책을 추가하고 학습 기간 동안 API마다 다를 수있는 이러한 정책을 호출하는 옵션이 있어야합니다. 노출하려는 각 API의 잠재적 인 취약성이 완전히 이해되면 보안 팀이 모든 정책을 정의해야합니다. 그러나 외부 정책의 지원이 없더라도 적응 형 AI 기반 의사 결정 지점 및 시행 지점 기술은 결국 정책으로 탐지 할 수없는 복잡한 공격 중 일부를 학습하고 방지 할 것입니다.

두 개의 별도 보안 적용 지점 및 결정 지점 구성 요소를 갖는 또 다른 이점은 기존 API 관리 솔루션과 통합 할 수 있다는 것입니다. 간단한 사용자 인터페이스 향상 및 사용자 지정 확장은 보안 적용 지점을 API 게시자 및 게이트웨이에 통합 할 수 있습니다. API 게시자는 UI에서 필요한 특수 정책과 함께 게시 된 API에 대해 AI 보안을 활성화할지 여부를 선택할 수 있습니다. 확장 된 보안 적용 지점은 요청 속성을 결정 지점에 게시하고 결정 지점의 응답에 따라 API에 대한 액세스를 제한합니다.

그러나 의사 결정 지점에 이벤트를 게시하고 응답을 기반으로 액세스를 제한하면 시간이 걸리고 네트워크에 크게 의존합니다. 따라서 캐싱 메커니즘을 사용하여 비동기식으로 구현하는 것이 가장 좋습니다. 이는 정확도에 약간의 영향을 미치지 만 게이트웨이의 효율성을 고려할 때 AI 보안 계층을 추가하면 전체 지연 시간에 최소한으로 기여합니다.

AI 기반 보안 계층 ​​과제

물론 혜택은 비용없이 오지 않습니다. AI 기반 보안 계층은 추가 수준의 API 보호를 제공하지만 보안 팀이 해결해야하는 몇 가지 과제를 제시합니다.

  • 추가 오버 헤드 . 추가 AI 보안 계층은 메시지 흐름에 약간의 오버 헤드를 추가합니다. 따라서 중재 솔루션은 주요 중재 흐름 외부에서 정보 수집 및 게시를 처리 할 수있을만큼 똑똑해야합니다.
  • 오 탐지 . 오탐의 양이 많으면 보안 전문가의 추가 검토가 필요합니다. 그러나 일부 고급 AI 알고리즘을 사용하면 트리거되는 오탐의 수를 줄일 수 있습니다.
  • 신뢰 부족 . 사람들은 결정이 어떻게 내려 졌는지 이해하지 못할 때 불편 함을 느낍니다. 대시 보드 및 경고는 사용자가 결정 뒤에있는 요인을 시각화하는 데 도움이 될 수 있습니다. 예를 들어, 사용자가 1 분 내에 1,000 회 이상 비정상적인 속도로 시스템에 액세스하는 것이 차단되었다는 경고가 명확하게 표시되면 사람들은 시스템의 결정을 이해하고 신뢰할 수 있습니다.
  • 데이터 취약성 . 대부분의 AI 및 머신 러닝 솔루션은 종종 민감하고 개인적인 대량의 데이터에 의존합니다. 결과적으로 이러한 솔루션은 데이터 유출 및 신원 도용에 취약해질 수 있습니다. 유럽 ​​연합 GDPR (일반 데이터 보호 규정)을 준수하면 이러한 위험을 완화하는 데 도움이되지만 완전히 제거하지는 않습니다.
  • 레이블이 지정된 데이터 제한 . 가장 강력한 AI 시스템은지도 학습을 통해 훈련되며,이를 위해서는 기계가 이해할 수 있도록 구성된 레이블이 지정된 데이터가 필요합니다. 그러나 레이블이 지정된 데이터에는 한계가 있으며 점점 더 어려워지는 알고리즘의 미래 자동 생성은 문제를 악화시킬뿐입니다.
  • 잘못된 데이터 . AI 시스템의 효과는 훈련 된 데이터에 따라 다릅니다. 너무 자주 잘못된 데이터는 민족적, 공동체 적, 성별 또는 인종적 편견과 연관되어 개별 사용자에 대한 중요한 결정에 영향을 미칠 수 있습니다.

오늘날 기업에서 API의 중요한 역할을 감안할 때 API는 해커와 악의적 인 사용자의 표적이되고 있습니다. 인증, 권한 부여, 페이로드 스캔, 스키마 유효성 검사, 제한 및 속도 제한과 같은 정책 기반 메커니즘은 성공적인 API 보안 전략을 구현하기위한 기본 요구 사항입니다. 그러나 모든 API 활동을 지속적으로 검사하고보고하기 위해 AI 모델을 추가해야만 오늘날 등장하는 가장 정교한 보안 공격으로부터 기업을 보호 할 수 있습니다.

Sanjeewa Malalgoda는 WSO2의 소프트웨어 아키텍트이자 엔지니어링 부 이사로서 WSO2 API Manager 개발을 이끌고 있습니다. Lakshitha Gunasekara는 WSO2 API Manager 팀의 소프트웨어 엔지니어입니다. 

New Tech Forum은 새로운 엔터프라이즈 기술을 전례없이 깊이 있고 폭넓게 탐구하고 논의 할 수있는 장을 제공합니다. 선택은 우리가 중요하고 독자들에게 가장 큰 관심을 가지고 있다고 생각하는 기술을 선택하여 주관적입니다. 는 게시를위한 마케팅 자료를 허용하지 않으며 제공되는 모든 콘텐츠를 편집 할 권리를 보유합니다. 모든 문의 사항은 [email protected]으로 보내주십시오  .