近年來,不少國際知名企業都因API安全疏忽而遭受了巨大的打擊。不僅如此,據研究部門SaltLabs發布的《2022年第一季度API安全狀況報告》顯示,在過去12個月中,惡意API流量增加了681%,95%的組織都經歷了API安全事件。然而,大多數組織并沒有準備好應對這些挑戰,超過三分之一(34%)的企業沒有API安全策略。
API五大安全風險,你中招了嗎?
2021年,我國《數據安全法》正式施行,數據安全步入法治化軌道,API安全也隨之進入依法建設的新階段。從《數據安全法》對數據傳輸、提供、公開的技術要求角度看,國內政企機構API應用主要面臨五大管理挑戰和安全風險:
風險一:API資產無法有效管理
由于API數量增長太快,很多企業都不清楚自己擁有多少個API,以及API處于什么樣的狀態。API接口無法掃描和探測,大量的API接口如何梳理?如果API資產不清,安全責任如何劃分落實?又如何解決API資產的生命周期管理問題?
瑞數方案:針對API資產管理的挑戰,瑞數API安全管控平臺(APIBotDefender)可以持續發現API接口、建立API清單,并與業務方提供的API清單進行比對,以及時發現未知的API和僵尸API。同時,對API接口實現分類、分組、并指派責任人,實現數據分權管理;并提取API接口樣式,為API接口提供可視化展示。
風險二:API安全攻擊風險
不安全的API會持續擴大應用程序攻擊面,讓黑客更容易進行偵察、收集配置信息以及策劃網絡攻擊。當API面臨各種安全攻擊,企業如何進行有效識別和防護?例如:API請求參數是否合規?API接口調用順序是否合規?
瑞數方案:面對多樣化的API攻擊,瑞數API安全管控平臺可以基于已知業務邏輯和依賴關系定義API接口調用順序,防止繞過業務邏輯的訪問行為,提前設置接口請求參數調用規則,拒絕非法的API請求參數調用,降低安全配置錯誤,縮小攻擊面。同時,支持API安全攻擊檢測和防護,并引入語義分析技術,進一步提高檢測準確性。
風險三:敏感數據管控
如今針對API的攻擊已成為惡意攻擊者的首選,越來越多的黑客利用API竊取敏感數據并進行業務欺詐。如果企業未對敏感信息等數據進行脫敏處理,且未加密傳輸,一旦流量被截獲、破解,將對企業、公民個人權益造成嚴重影響。因此,企業需要更深入了解哪些API攜帶了什么類型的敏感信息;如何識別API訪問中的敏感數據;對API中的敏感數據,如何實現控制;如何應對合規審計的要求等。
瑞數方案:為了更好地管控敏感數據,滿足合規審計需求,瑞數API安全管控平臺內置敏感信息檢測引擎,覆蓋姓名、手機號、身份證、銀行卡、密碼等18種敏感數據類型,可以對敏感信息進行自動分級,實時洞察API接口中雙向傳輸的敏感數據、明文密碼和弱密碼,并及時對API接口回傳報文中的敏感信息進行脫敏處理,規避數據泄漏風險。
風險四:API異常訪問風險
隨著自動化攻擊手段的不斷升級,企業即使建立了身份認證、訪問授權、敏感數據保護等機制,有時仍無法避免黑客以機器模擬正常用戶行為來實施攻擊。面對以合法身份登錄、模擬正常操作、多源低頻的API訪問請求,企業能否察覺訪問行為是否異常?如何管理API的訪問行為,從API訪問中如何識別業務風險?針對異常訪問,又如何實現管控?
瑞數方案:以合法身份登錄、模擬正常操作、多源低頻的API訪問請求,是API攻擊很難被發現的重要原因。對此,瑞數API安全管控平臺基于多維度實時監控API接口的訪問行為,包括訪問成功率、耗時、TPS、并發數、攻擊事件等維度,建立API訪問基線,能夠及時發現偏離基線的異常訪問行為。同時,內置的API業務威脅模型,可以透視API常見的業務威脅,如:撞庫、爬蟲等,高效準確進行人機識別。
風險五:實時安全防護
面對未知的、多樣化的API攻擊,企業需開啟實時安全防護,對API安全威脅進行主動發現和響應,才能真正為業務筑起安全防線,例如:能否實時細粒度阻斷、熔斷各類風險?能否在實現防護同時不影響業務?
瑞數方案:基于企業對實時安全響應和業務發展的需求,瑞數APIBotDefender內置靈活的API訪問控制策略,可基于API接口、API分組,API管理責任人、源IP、訪問頻率、客戶端指紋、API令牌、UserAgent、HTTP請求特征等上百多個元素,對API接口實現精細化的訪問控制,支持多維度限頻、攔截、延時等,實現安全和業務的平衡。
目前,大多數企業在API安全應對上主要依賴傳統的身份認證、權限控管及請求內容校驗等安全機制,但黑產已經實現各類攻擊資源高度的模塊化和市場化,使得企業無法從容應對現有業務模式下API的各類新興威脅。
與傳統安全產品相比,瑞數API安全管控平臺(APIBotDefender)率先在業內提出了“ADMP安全模型”方法論,從API“感知、發現、監測、保護”四個角度出發,實現API數據傳輸、提供、公開的安全治理,體系化保障API安全。這彌補了各類產品的弊端,并具備多種核心優勢:
自動化API資產管理
傳統API網關主要實現鑒權和認證,缺少API安全層面的發現和管控。
瑞數API安全管控平臺則可以快速自動地發現API資產,并可實現API接口的高精度識別和樣式提取,對發現的API給出明確的認定;同時,顯示出清晰的API列表,對API接口的訪問情況一目了然,幫助用戶實現API資產生命周期管理。
API多維度攻擊防護
傳統WAF基于規則庫,只能固守規則對安全攻擊進行攔截,無法全方位透視業務威脅。
瑞數API安全管控平臺采用全程式安全威脅防護技術,基于語義分析規則綜合性地對異常行為進行檢測分析,誤報率、漏報率明顯降低;通過流量分析和行為分析技術,精準構建API業務威脅模型。不僅覆蓋OWASPAPISecurityTop10的攻擊防御,且通過API業務威脅模型,能夠快速應對諸如爬蟲、撞庫等各類API業務安全威脅。
行業性敏感數據管控
瑞數API安全管控平臺默認自帶有多種類的敏感數據識別策略,覆蓋政府、金融、運營商、醫療等行業幾十種常見敏感數據的識別,亦可根據行業用戶針對性業務特點進行敏感數據自定義標簽化數據,幫助用戶快速識別敏感數據。
動態響應防護
瑞數API安全管控平臺能夠對攻擊和異常行為的結果或指定條件,進行動態響應防護,提升通過逆向探測或機器學習分析等攻擊手段的難度。
高能性處理
瑞數API安全管控平臺從采集API數據、解構API報文、聯系API上下關系等流程上優化數據處理,能支撐超大流量環境的API治理,支持的業務訪問數(TPS)能力是傳統方式的20倍。
