如今,数据已成为新兴的生产要素,是国家基础性和战略性资源,随之而产生的数据安全需求也愈发凸显。自2021年初,国家网信办、工信部、公安部等多部门对数据安全、网络信息安全等涉及到国家安全的领域密集出台相关监管措施,从上至下编织起“数据安全”和“网络安全”两张大网。
7月10日,《网络安全审查办法(修订草案征求意见稿)》公开征求意见;今年9月1日,《中华人民共和国数据安全法》就将开始实施……在此背景下,国家和企业对于数据保护和安全建设的诉求已经提升到一个全新层次。而作为连接数据和应用之间的重要通道,API正在成为攻击者眼中撬开数据“蜜罐”的开瓶器。
API成数据安全最大风险敞口如何打赢数字时代的“数据保卫战”?
在数字时代下,无论是互联网商业创新还是传统企业数字化转型,都推动了API经济。可以说,API就是传统行业价值链全面数字化的关键技术,其连接的已不仅仅是系统和数据,还有企业内部职能部门、客户和合作伙伴,甚至整个商业生态。但是,API目前所面临的严峻安全挑战,却很容易被管理者所忽视,也并无过往的应对经验。
从只用于企业内部服务调用的API1.0时代,到面向服务架构的API2.0时代,再到如今成为开放平台和云原生微服务的API3.0时代,API已经逐步从限制性的局部接口,转向更大和更广的开放。这为开发者带来了诸多好处,比如可公开获取、标准化、高效且易于使用等,但同时其自身的风险敞口进一步扩大。Gartner在其《如何建立有效的API安全策略》报告中预测,“到2022年,API滥用将成为导致企业Web应用程序数据泄露的最常见攻击媒介。”
近年来,越来越多的攻击者正利用API来实施自动化的“高效攻击”,由API漏洞利用的攻击或安全管理漏洞所引发的数据安全事件,严重损害了相关企业和用户权益,逐渐受到各方的关注。比如:2021年4月,Facebook平台上的5亿用户数据泄漏,涉及信息包括用户昵称、邮箱、电话、家庭住址等信息,事后判定为业务接口泄漏。时隔2个月,另一著名社交平台LinkedIn领英,有超过7亿用户数据在暗网出售,涉及用户的全名、性别、邮件以及电话号码、工作职业等相关个人信息。据悉,部分数据也是通过API泄露获取。2020年,微博的3.5亿数据泄露,就是来自于终端APP的业务逻辑API被非法流量调用超过40亿次而导致。2020年,印尼最大的电商网站Tokopedia9100万用户信息泄漏,里面涉及到用户曾经浏览到商品信息和订单信息,也为业务接口泄漏。由于API既能够起到连接服务的功能,又可以用来传输数据,因此,API的安全防护非常重要也非常敏感。
整体来看,API所面临的风险包括:凭据失陷、越权访问、数据篡改、违规爬取、数据泄露等诸多安全风险。从API的安全访问流程上进行评估,实施的防护措施应包含有效的身份认证、可控的访问授权、针对特定数据返回结果的筛选、访问异常行为检测及响应等。而在大多数业务场景下,API在对外提供服务时并没有部署良好的防护机制。究其原因,一方面是由于业务的快速迭代,安全负责人无法完整掌握API的使用情况、业务与安全存在割裂;另一方面是对现有API进行安全改造的成本巨大。未来,API在数字化转型中扮演的角色将愈发重要,因此亟需有效的解决方案对开放共享的数据核心资产提供保护。
然而,对于API的安全管控也并非易事。难题在于,尽管大多数安全从业者会建议隐藏资源、减少暴露面和攻击面,但业务上成功部署的API却倾向使资源更加开放和可用。并且随着云原生时代的到来,微服务核心架构下,API成为服务交付的必选,API遭遇的安全困局实际上也是现代网络安全面临的一个共性问题,对安全团队而言,既不能因为保护业务而让系统变得封闭,又要将API风险敞口保持在可控范围之内,这就需要制定平衡业务与安全的API风险管理策略,并搭建功能完善、具备弹性的安全管控平台。
凡事预则立不预则废安全管控平台将风险化解于无形
API风险管控虽不易,却仍有迹可循。
国内创新安全厂商瑞数信息认为,API管控应做到内化于心、外化于行。在内部做到心中有数,在外部做到知行合一。
API的安全防护离不开业务层面上对API的开发管理。一般来说,API的安全开发需要开发人员具备API安全开发的知识和意识,并遵循安全开发规范对API进行开发和部署。例如使用基础的用户名密码的方式进行身份验证,或者通过API密钥即令牌字符串进行安全防护,或者基于OAuth框架进行用户身份信息的验证以及基本信息的校验。
不仅在开发层面,事实上,对API的安全管控是一件从开发、应用,到运营、维护,整个阶段都要参与和防护的过程,这一点和传统的网络防护有所区别又有相似之处。在此背景下,瑞数信息创新地推出API安全管控平台——APIBotDefender,致力于帮助企业做到对API安全风险的可知和可控。
有别于很多单纯从API安全网关角度切入的安全厂商,瑞数信息在技术路线上将攻击的防御能力与AI智能的数据分析能力进行全面融合,由此推出具有API感知、发现、监控、保护能力的APIBotDefender,是一种结合了以上两种API安全方案优势的创新方案。该平台包括API资产管理、攻击防护、敏感数据管控和访问行为管控四大模块,为API接口提供完整的安全管控方案。
在资产管理模块中,实现对API资产的统一管理。API资产管理基于数据建模自动发现被保护站点的API资产,对API资产进行梳理、分析和上下线,帮助客户实现API资产的生命周期管理。
攻击防护模块综合利用智能规则匹配及行为分析的智能威胁检测引擎,持续监控并分析流量行为,有效检测威胁攻击。智能威胁检测引擎在用户与应用程序交互的过程中收集数据,并利用统计模型来确定HTTP请求的异常。一旦确定异常情况,智能引擎就会使用机器学习获得的多种威胁模型来确定异常攻击。
敏感数据管控模块会对API传输中的敏感数据进行识别,针对敏感数据可以进行脱敏处理或者实时拦截,防止敏感数据泄露。
访问行为管控模块将对API接口的访问行为进行分析,通过多维度建立API访问基线、API威胁建模,发现异常访问行为,避免恶意访问和接口滥用造成的业务损失。
完备的模块功能让APIBotDefender能够实现从API接入的客户端到API服务器端的全程式API安全威胁防护。APIBotDefender不仅可以快速自动地发现API,并且针对发现的API给出明确的认定,还可以显示出清晰的API列表,对API接口的访问情况一目了然。同时,通过精准地构建API画像,可以快速预览各个业务的API情况,包括使用情况、异常情况、访问来源等,并且可根据行为分析的结果或指定条件,进行动态响应防护,提升通过逆向探测或机器学习分析等攻击手段的难度。
一个优秀的安全管理平台不仅要与业务有良好的契合度,具备强大的安全管控能力,还要容易部署和运维。在部署方式上,APIBotDefender非常灵活,支持串联及旁路镜像的方式,以及软件、硬件和云等多种模式,可以大大降低部署、管理和维护成本。同时,占用资源少,不影响服务器的正常运行,可以实现应用无感知部署。
如今,API安全已经成为企业时刻需要关注的安全问题,缺乏良好防护策略的API服务,不仅会对用户的使用体验以及个人隐私带来威胁,而且还会使企业面临未知的安全风险。为了提高API安全性,开发人员需要在设计和开发阶段,对API的安全性进行良好的构建和设计。对于管理人员来说,则可以使用API安全管控平台这样的安全工具,从而可以更好地对未知风险进行检测和防护,做到未雨绸缪、防患于未然。