近年来,不少国际知名企业都因API安全疏忽而遭受了巨大的打击。不仅如此,据研究部门SaltLabs发布的《2022年第一季度API安全状况报告》显示,在过去12个月中,恶意API流量增加了681%,95%的组织都经历了API安全事件。然而,大多数组织并没有准备好应对这些挑战,超过三分之一(34%)的企业没有API安全策略。
API五大安全风险,你中招了吗?
2021年,我国《数据安全法》正式施行,数据安全步入法治化轨道,API安全也随之进入依法建设的新阶段。从《数据安全法》对数据传输、提供、公开的技术要求角度看,国内政企机构API应用主要面临五大管理挑战和安全风险:
风险一:API资产无法有效管理
由于API数量增长太快,很多企业都不清楚自己拥有多少个API,以及API处于什么样的状态。API接口无法扫描和探测,大量的API接口如何梳理?如果API资产不清,安全责任如何划分落实?又如何解决API资产的生命周期管理问题?
瑞数方案:针对API资产管理的挑战,瑞数API安全管控平台(APIBotDefender)可以持续发现API接口、建立API清单,并与业务方提供的API清单进行比对,以及时发现未知的API和僵尸API。同时,对API接口实现分类、分组、并指派责任人,实现数据分权管理;并提取API接口样式,为API接口提供可视化展示。
风险二:API安全攻击风险
不安全的API会持续扩大应用程序攻击面,让黑客更容易进行侦察、收集配置信息以及策划网络攻击。当API面临各种安全攻击,企业如何进行有效识别和防护?例如:API请求参数是否合规?API接口调用顺序是否合规?
瑞数方案:面对多样化的API攻击,瑞数API安全管控平台可以基于已知业务逻辑和依赖关系定义API接口调用顺序,防止绕过业务逻辑的访问行为,提前设置接口请求参数调用规则,拒绝非法的API请求参数调用,降低安全配置错误,缩小攻击面。同时,支持API安全攻击检测和防护,并引入语义分析技术,进一步提高检测准确性。
风险三:敏感数据管控
如今针对API的攻击已成为恶意攻击者的首选,越来越多的黑客利用API窃取敏感数据并进行业务欺诈。如果企业未对敏感信息等数据进行脱敏处理,且未加密传输,一旦流量被截获、破解,将对企业、公民个人权益造成严重影响。因此,企业需要更深入了解哪些API携带了什么类型的敏感信息;如何识别API访问中的敏感数据;对API中的敏感数据,如何实现控制;如何应对合规审计的要求等。
瑞数方案:为了更好地管控敏感数据,满足合规审计需求,瑞数API安全管控平台内置敏感信息检测引擎,覆盖姓名、手机号、身份证、银行卡、密码等18种敏感数据类型,可以对敏感信息进行自动分级,实时洞察API接口中双向传输的敏感数据、明文密码和弱密码,并及时对API接口回传报文中的敏感信息进行脱敏处理,规避数据泄漏风险。
风险四:API异常访问风险
随着自动化攻击手段的不断升级,企业即使建立了身份认证、访问授权、敏感数据保护等机制,有时仍无法避免黑客以机器模拟正常用户行为来实施攻击。面对以合法身份登录、模拟正常操作、多源低频的API访问请求,企业能否察觉访问行为是否异常?如何管理API的访问行为,从API访问中如何识别业务风险?针对异常访问,又如何实现管控?
瑞数方案:以合法身份登录、模拟正常操作、多源低频的API访问请求,是API攻击很难被发现的重要原因。对此,瑞数API安全管控平台基于多维度实时监控API接口的访问行为,包括访问成功率、耗时、TPS、并发数、攻击事件等维度,建立API访问基线,能够及时发现偏离基线的异常访问行为。同时,内置的API业务威胁模型,可以透视API常见的业务威胁,如:撞库、爬虫等,高效准确进行人机识别。
风险五:实时安全防护
面对未知的、多样化的API攻击,企业需开启实时安全防护,对API安全威胁进行主动发现和响应,才能真正为业务筑起安全防线,例如:能否实时细粒度阻断、熔断各类风险?能否在实现防护同时不影响业务?
瑞数方案:基于企业对实时安全响应和业务发展的需求,瑞数APIBotDefender内置灵活的API访问控制策略,可基于API接口、API分组,API管理责任人、源IP、访问频率、客户端指纹、API令牌、UserAgent、HTTP请求特征等上百多个元素,对API接口实现精细化的访问控制,支持多维度限频、拦截、延时等,实现安全和业务的平衡。
目前,大多数企业在API安全应对上主要依赖传统的身份认证、权限控管及请求内容校验等安全机制,但黑产已经实现各类攻击资源高度的模块化和市场化,使得企业无法从容应对现有业务模式下API的各类新兴威胁。
与传统安全产品相比,瑞数API安全管控平台(APIBotDefender)率先在业内提出了“ADMP安全模型”方法论,从API“感知、发现、监测、保护”四个角度出发,实现API数据传输、提供、公开的安全治理,体系化保障API安全。这弥补了各类产品的弊端,并具备多种核心优势:
自动化API资产管理
传统API网关主要实现鉴权和认证,缺少API安全层面的发现和管控。
瑞数API安全管控平台则可以快速自动地发现API资产,并可实现API接口的高精度识别和样式提取,对发现的API给出明确的认定;同时,显示出清晰的API列表,对API接口的访问情况一目了然,帮助用户实现API资产生命周期管理。
API多维度攻击防护
传统WAF基于规则库,只能固守规则对安全攻击进行拦截,无法全方位透视业务威胁。
瑞数API安全管控平台采用全程式安全威胁防护技术,基于语义分析规则综合性地对异常行为进行检测分析,误报率、漏报率明显降低;通过流量分析和行为分析技术,精准构建API业务威胁模型。不仅覆盖OWASPAPISecurityTop10的攻击防御,且通过API业务威胁模型,能够快速应对诸如爬虫、撞库等各类API业务安全威胁。
行业性敏感数据管控
瑞数API安全管控平台默认自带有多种类的敏感数据识别策略,覆盖政府、金融、运营商、医疗等行业几十种常见敏感数据的识别,亦可根据行业用户针对性业务特点进行敏感数据自定义标签化数据,帮助用户快速识别敏感数据。
动态响应防护
瑞数API安全管控平台能够对攻击和异常行为的结果或指定条件,进行动态响应防护,提升通过逆向探测或机器学习分析等攻击手段的难度。
高能性处理
瑞数API安全管控平台从采集API数据、解构API报文、联系API上下关系等流程上优化数据处理,能支撑超大流量环境的API治理,支持的业务访问数(TPS)能力是传统方式的20倍。