API亂象何時休?瑞數信息重拳出擊去“頑疾”

2022.09.26

在“萬物皆可API”的時代,通過API快速構建產品和服務、迅速響應客戶需求已是數字化企業的必備技能。但同時,API承載著越來越複雜的應用程序邏輯和越來越多敏感數據的特徵,也使得API成為黑產的重點攻擊目標。

近年來,不少國際知名企業都因API安全疏忽而遭受了巨大的打擊。不僅如此,據研究部門Salt Labs發布的《2022年第一季度API安全狀況報告》顯示,在過去12個月中,惡意API流量增加了681%,95%的組織都經歷了API安全事件。然而,大多數組織並沒有準備好應對這些挑戰,超過三分之一(34%)的企業沒有API安全策略。

API五大安全風險,你中招了嗎?

2021年,我國《數據安全法》正式施行,數據安全步入法治化軌道,API安全也隨之進入依法建設的新階段。從《數據安全法》對數據傳輸、提供、公開的技術要求角度看,國內政企機構API應用主要面臨五大管理挑戰和安全風險:

風險一:API資產無法有效管理

由於API數量增長太快,很多企業都不清楚自己擁有多少個API,以及API處於什麼樣的狀態。API接口無法掃描和探測,大量的API接口如何梳理?如果API資產不清,安全責任如何劃分落實?又如何解決API資產的生命週期管理問題?

瑞數方案:針對API資產管理的挑戰,瑞數API 安全管控平台(API BotDefender)可以持續發現API接口、建立API清單,並與業務方提供的API清單進行比對,以及時發現未知的API和殭屍API。同時,對API接口實現分類、分組、並指派責任人,實現數據分權管理;並提取API接口樣式,為API接口提供可視化展示。

風險二:API安全攻擊風險

不安全的API會持續擴大應用程序攻擊面,讓黑客更容易進行偵察、收集配置信息以及策劃網絡攻擊。當API面臨各種安全攻擊,企業如何進行有效識別和防護?例如:API請求參數是否合規?API接口調用順序是否合規?

瑞數方案:面對多樣化的API攻擊,瑞數API安全管控平台可以基於已知業務邏輯和依賴關係定義API接口調用順序,防止繞過業務邏輯的訪問行為,提前設置接口請求參數調用規則,拒絕非法的API請求參數調用,降低安全配置錯誤,縮小攻擊面。同時,支持API安全攻擊檢測和防護,並引入語義分析技術,進一步提高檢測準確性。

風險三:敏感數據管控

如今針對API的攻擊已成為惡意攻擊者的首選,越來越多的黑客利用API竊取敏感數據並進行業務欺詐。如果企業未對敏感信息等數據進行脫敏處理,且未加密傳輸,一旦流量被截獲、破解,將對企業、公民個人權益造成嚴重影響。因此,企業需要更深入了解哪些API攜帶了什麼類型的敏感信息;如何識別API訪問中的敏感數據;對API中的敏感數據,如何實現控制;如何應對合規審計的要求等。

瑞數方案:為了更好地管控敏感數據,滿足合規審計需求,瑞數API安全管控平台內置敏感信息檢測引擎,覆蓋姓名、手機號、身份證、銀行卡、密碼等18種敏感數據類型,可以對敏感信息進行自動分級,實時洞察API接口中雙向傳輸的敏感數據、明文密碼和弱密碼,並及時對API接口回傳報文中的敏感信息進行脫敏處理,規避數據洩漏風險。

風險四:API異常訪問風險

隨著自動化攻擊手段的不斷升級,企業即使建立了身份認證、訪問授權、敏感數據保護等機制,有時仍無法避免黑客以機器模擬正常用戶行為來實施攻擊。面對以合法身份登錄、模擬正常操作、多源低頻的API訪問請求,企業能否察覺訪問行為是否異常?如何管理API的訪問行為,從API訪問中如何識別業務風險?針對異常訪問,又如何實現管控?

瑞數方案:以合法身份登錄、模擬正常操作、多源低頻的API訪問請求,是API攻擊很難被發現的重要原因。對此,瑞數API 安全管控平台基於多維度實時監控API 接口的訪問行為,包括訪問成功率、耗時、TPS、並發數、攻擊事件等維度,建立API訪問基線,能夠及時發現偏離基線的異常訪問行為。同時,內置的API業務威脅模型,可以透視API常見的業務威脅,如:撞庫、爬蟲等,高效準確進行人機識別。

風險五:實時安全防護

面對未知的、多樣化的API攻擊,企業需開啟實時安全防護,對API安全威脅進行主動發現和響應,才能真正為業務築起安全防線,例如:能否實時細粒度阻斷、熔斷各類風險?能否在實現防護同時不影響業務?

瑞數方案:基於企業對實時安全響應和業務發展的需求,瑞數API BotDefender內置靈活的API訪問控制策略,可基於API接口、API分組,API 管理責任人、源IP、訪問頻率、客戶端指紋、API令牌、User Agent、HTTP請求特徵等上百多個元素,對API接口實現精細化的訪問控制,支持多維度限頻、攔截、延時等,實現安全和業務的平衡。

目前,大多數企業在API安全應對上主要依賴傳統的身份認證、權限控管及請求內容校驗等安全機制,但黑產已經實現各類攻擊資源高度的模塊化和市場化,使得企業無法從容應對現有業務模式下API的各類新興威脅。

與傳統安全產品相比,瑞數API安全管控平台(API BotDefender)率先在業內提出了“ADMP安全模型”方法論,從API“感知、發現、監測、保護”四個角度出發,實現API數據傳輸、提供、公開的安全治理,體系化保障API安全。這彌補了各類產品的弊端,並具備多種核心優勢:


自動化API資產管理

傳統API網關主要實現鑑權和認證,缺少API安全層面的發現和管控。

瑞數API安全管控平台則可以快速自動地發現API資產,並可實現API接口的高精度識別和样式提取,對發現的API給出明確的認定;同時,顯示出清晰的API列表,對API接口的訪問情況一目了然,幫助用戶實現API資產生命週期管理。

API多維度攻擊防護

傳統WAF基於規則庫,只能固守規則對安全攻擊進行攔截,無法全方位透視業務威脅。

瑞數API安全管控平台採用全程式安全威脅防護技術,基於語義分析規則綜合性地對異常行為進行檢測分析,誤報率、漏報率明顯降低;通過流量分析和行為分析技術,精準構建API業務威脅模型。不僅覆蓋OWASP API Security Top10的攻擊防禦,且通過API業務威脅模型,能夠快速應對諸如爬蟲、撞庫等各類API業務安全威脅。

行業性敏感數據管控

瑞數API安全管控平台默認自帶有多種類的敏感數據識別策略,覆蓋政府、金融、運營商、醫療等行業幾十種常見敏感數據的識別,亦可根據行業用戶針對性業務特點進行敏感數據自定義標籤化數據,幫助用戶快速識別敏感數據。

動態響應防護

瑞數API安全管控平台能夠對攻擊和異常行為的結果或指定條件,進行動態響應防護,提升通過逆向探測或機器學習分析等攻擊手段的難度。

高能性處理

瑞數API安全管控平台從採集API數據、解構API報文、聯繫API上下關係等流程上優化數據處理,能支撐超大流量環境的API治理,支持的業務訪問數(TPS)能力是傳統方式的20倍。