API 成数据安全最大风险敞口 如何打赢数字时代的“数据保卫战”?
API 管控应做到内化于心、外化于行。在内部做到心中有数,在外部做到知行合一。
如今,数据已成为新兴的生产要素,是国家基础性和战略性资源,随之而产生的数据安全需求也愈发凸显。自 2021 年初,国家网信办、工信部、公安部等多部门对数据安全、网络信息安全等涉及到国家安全的领域密集出台相关监管措施,从上至下编织起“数据安全”和“网络安全”两张大网。
7 月 10 日,《网络安全审查办法(修订草案征求意见稿)》公开征求意见;今年 9 月 1 日,《中华人民共和国数据安全法》就将开始实施……在此背景下,国家和企业对于数据保护和安全建设的诉求已经提升到一个全新层次。而作为连接数据和应用之间的重要通道,API 正在成为攻击者眼中撬开数据“蜜罐”的开瓶器。
API 成数据安全最大风险敞口 如何打赢数字时代的“数据保卫战”?
在数字时代下,无论是互联网商业创新还是传统企业数字化转型,都推动了 API 经济。可以说,API 就是传统行业价值链全面数字化的关键技术,其连接的已不仅仅是系统和数据,还有企业内部职能部门、客户和合作伙伴,甚至整个商业生态。但是,API 目前所面临的严峻安全挑战,却很容易被管理者所忽视,也并无过往的应对经验。
从只用于企业内部服务调用的 API 1.0 时代,到面向服务架构的 API 2.0 时代,再到如今成为开放平台和云原生微服务的 API 3.0 时代,API 已经逐步从限制性的局部接口,转向更大和更广的开放。这为开发者带来了诸多好处,比如可公开获取、标准化、高效且易于使用等,但同时其自身的风险敞口进一步扩大。Gartner 在其《如何建立有效的 API 安全策略》报告中预测,“到 2022 年,API 滥用将成为导致企业 Web 应用程序数据泄露的最常见攻击媒介。”
近年来,越来越多的攻击者正利用 API 来实施自动化的“高效攻击”,由 API 漏洞利用的攻击或安全管理漏洞所引发的数据安全事件,严重损害了相关企业和用户权益,逐渐受到各方的关注。比如:2021 年 4 月,Facebook 平台上的 5 亿用户数据泄漏,涉及信息包括用户昵称、邮箱、电话、家庭住址等信息,事后判定为业务接口泄漏。时隔 2 个月,另一著名社交平台 LinkedIn 领英,有超过 7 亿用户数据在暗网出售,涉及用户的全名、性别、邮件以及电话号码、工作职业等相关个人信息。据悉,部分数据也是通过 API 泄露获取。2020 年,微博的 3.5 亿数据泄露,就是来自于终端 APP 的业务逻辑 API 被非法流量调用超过 40 亿次而导致。2020 年,印尼最大的电商网站 Tokopedia 9100 万用户信息泄漏,里面涉及到用户曾经浏览到商品信息和订单信息,也为业务接口泄漏。由于 API 既能够起到连接服务的功能,又可以用来传输数据,因此,API 的安全防护非常重要也非常敏感。
整体来看,API 所面临的风险包括:凭据失陷、越权访问、数据篡改、违规爬取、数据泄露等诸多安全风险。从 API 的安全访问流程上进行评估,实施的防护措施应包含有效的身份认证、可控的访问授权、针对特定数据返回结果的筛选、访问异常行为检测及响应等。而在大多数业务场景下,API 在对外提供服务时并没有部署良好的防护机制。究其原因,一方面是由于业务的快速迭代,安全负责人无法完整掌握 API 的使用情况、业务与安全存在割裂;另一方面是对现有 API 进行安全改造的成本巨大。未来,API 在数字化转型中扮演的角色将愈发重要,因此亟需有效的解决方案对开放共享的数据核心资产提供保护。
然而,对于 API 的安全管控也并非易事。难题在于,尽管大多数安全从业者会建议隐藏资源、减少暴露面和攻击面,但业务上成功部署的 API 却倾向使资源更加开放和可用。并且随着云原生时代的到来,微服务核心架构下,API 成为服务交付的必选,API 遭遇的安全困局实际上也是现代网络安全面临的一个共性问题,对安全团队而言,既不能因为保护业务而让系统变得封闭,又要将 API 风险敞口保持在可控范围之内,这就需要制定平衡业务与安全的 API 风险管理策略,并搭建功能完善、具备弹性的安全管控平台。
凡事预则立不预则废 安全管控平台将风险化解于无形
API 风险管控虽不易,却仍有迹可循。
国内创新安全厂商瑞数信息认为,API 管控应做到内化于心、外化于行。在内部做到心中有数,在外部做到知行合一。
API 的安全防护离不开业务层面上对 API 的开发管理。一般来说,API 的安全开发需要开发人员具备 API 安全开发的知识和意识,并遵循安全开发规范对 API 进行开发和部署。例如使用基础的用户名密码的方式进行身份验证,或者通过 API 密钥即令牌字符串进行安全防护,或者基于 OAuth 框架进行用户身份信息的验证以及基本信息的校验。
不仅在开发层面,事实上,对 API 的安全管控是一件从开发、应用,到运营、维护,整个阶段都要参与和防护的过程,这一点和传统的网络防护有所区别又有相似之处。在此背景下,瑞数信息创新地推出 API 安全管控平台——API BotDefender,致力于帮助企业做到对 API 安全风险的可知和可控。
有别于很多单纯从 API 安全网关角度切入的安全厂商,瑞数信息在技术路线上将攻击的防御能力与 AI 智能的数据分析能力进行全面融合,由此推出具有 API 感知、发现、监控、保护能力的 API BotDefender,是一种结合了以上两种 API 安全方案优势的创新方案。该平台包括 API 资产管理、攻击防护、敏感数据管控和访问行为管控四大模块,为 API 接口提供完整的安全管控方案。
在资产管理模块中,实现对 API 资产的统一管理。API 资产管理基于数据建模自动发现被保护站点的 API 资产,对 API 资产进行梳理、分析和上下线,帮助客户实现 API 资产的生命周期管理。
攻击防护模块综合利用智能规则匹配及行为分析的智能威胁检测引擎,持续监控并分析流量行为,有效检测威胁攻击。智能威胁检测引擎在用户与应用程序交互的过程中收集数据,并利用统计模型来确定 HTTP 请求的异常。一旦确定异常情况,智能引擎就会使用机器学习获得的多种威胁模型来确定异常攻击。
敏感数据管控模块会对 API 传输中的敏感数据进行识别,针对敏感数据可以进行脱敏处理或者实时拦截,防止敏感数据泄露。
访问行为管控模块将对 API 接口的访问行为进行分析,通过多维度建立 API 访问基线、API 威胁建模,发现异常访问行为,避免恶意访问和接口滥用造成的业务损失。
完备的模块功能让 API BotDefender 能够实现从 API 接入的客户端到 API 服务器端的全程式 API 安全威胁防护。API BotDefender 不仅可以快速自动地发现 API,并且针对发现的 API 给出明确的认定,还可以显示出清晰的 API 列表,对 API 接口的访问情况一目了然。同时,通过精准地构建 API 画像,可以快速预览各个业务的 API 情况,包括使用情况、异常情况、访问来源等,并且可根据行为分析的结果或指定条件,进行动态响应防护,提升通过逆向探测或机器学习分析等攻击手段的难度。
一个优秀的安全管理平台不仅要与业务有良好的契合度,具备强大的安全管控能力,还要容易部署和运维。在部署方式上,API BotDefender 非常灵活,支持串联及旁路镜像的方式,以及软件、硬件和云等多种模式,可以大大降低部署、管理和维护成本。同时,占用资源少,不影响服务器的正常运行,可以实现应用无感知部署。
如今,API 安全已经成为企业时刻需要关注的安全问题,缺乏良好防护策略的 API 服务,不仅会对用户的使用体验以及个人隐私带来威胁,而且还会使企业面临未知的安全风险。为了提高 API 安全性,开发人员需要在设计和开发阶段,对 API 的安全性进行良好的构建和设计。对于管理人员来说,则可以使用 API 安全管控平台这样的安全工具,从而可以更好地对未知风险进行检测和防护,做到未雨绸缪、防患于未然。
咨询热线:+86 400-966-9672
邮 箱:info@foreverht.com
评论