API亂象何時休？瑞數信息重拳出擊去“頑疾”

但同時，API承載著越來越複雜的應用程序邏輯和越來越多敏感數據的特徵，也使得API成為黑產的重點攻擊目標。 近年來，不少國際知名企業都因API安全疏忽而遭受了巨大的打擊。不僅如此，據研究部門Salt Labs發布的《2022年第一季度API安全狀況報告》顯示，在過去12個月中，惡意API流量增加了681%，95%的組織都經歷了API安全事件。然而，大多數組織並沒有準備好應對這些挑戰，超過三分之一（34%）的企業沒有API安全策略。 API五大安全風險，你中招了嗎？ 2021年，我國《數據安全法》正式施行，數據安全步入法治化軌道，API安全也隨之進入依法建設的新階段。從《數據安全法》對數據傳輸、提供、公開的技術要求角度看，國內政企機構API應用主要面臨五大管理挑戰和安全風險： 風險一：API資產無法有效管理 由於API數量增長太快，很多企業都不清楚自己擁有多少個API，以及API處於什麼樣的狀態。 API接口無法掃描和探測，大量的API接口如何梳理？如果API資產不清，安全責任如何劃分落實？又如何解決API資產的生命週期管理問題？ 瑞數方案：針對API資產管理的挑戰，瑞數API 安全管控平台（API BotDefender）可以持續發現API接口、建立API清單，並與業務方提供的API清單進行比對，以及時發現未知的API和殭屍API。同時，對API接口實現分類、分組、並指派責任人，實現數據分權管理；並提取API接口樣式，為API接口提供可視化展示。 風險二：API安全攻擊風險 不安全的API會持續擴大應用程序攻擊面，讓黑客更容易進行偵察、收集配置信息以及策劃網絡攻擊。當API面臨各種安全攻擊，企業如何進行有效識別和防護？例如：API請求參數是否合規？ API接口調用順序是否合規？ 瑞數方案：面對多樣化的API攻擊，瑞數API安全管控平台可以基於已知業務邏輯和依賴關係定義API接口調用順序，防止繞過業務邏輯的訪問行為，提前設置接口請求參數調用規則，拒絕非法的API請求參數調用，降低安全配置錯誤，縮小攻擊面。同時，支持API安全攻擊檢測和防護，並引入語義分析技術，進一步提高檢測準確性。 風險三：敏感數據管控 如今針對API的攻擊已成為惡意攻擊者的首選，越來越多的黑客利用API竊取敏感數據並進行業務欺詐。如果企業未對敏感信息等數據進行脫敏處理，且未加密傳輸，一旦流量被截獲、破解，將對企業、公民個人權益造成嚴重影響。因此，企業需要更深入了解哪些API攜帶了什麼類型的敏感信息；如何識別API訪問中的敏感數據；對API中的敏感數據，如何實現控制；如何應對合規審計的要求等。 瑞數方案：為了更好地管控敏感數據，滿足合規審計需求，瑞數API安全管控平台內置敏感信息檢測引擎，覆蓋姓名、手機號、身份證、銀行卡、密碼等18種敏感數據類型，可以對敏感信息進行自動分級，實時洞察API接口中雙向傳輸的敏感數據、明文密碼和弱密碼，並及時對API接口回傳報文中的敏感信息進行脫敏處理，規避數據洩漏風險。 風險四：API異常訪問風險 隨著自動化攻擊手段的不斷升級，企業即使建立了身份認證、訪問授權、敏感數據保護等機制，有時仍無法避免黑客以機器模擬正常用戶行為來實施攻擊。面對以合法身份登錄、模擬正常操作、多源低頻的API訪問請求，企業能否察覺訪問行為是否異常？如何管理API的訪問行為，從API訪問中如何識別業務風險？針對異常訪問，又如何實現管控？ 瑞數方案：以合法身份登錄、模擬正常操作、多源低頻的API訪問請求，是API攻擊很難被發現的重要原因。對此，瑞數API 安全管控平台基於多維度實時監控 API 接口的訪問行為，包括訪問成功率、耗時、TPS、並發數、攻擊事件等維度，建立API訪問基線，能夠及時發現偏離基線的異常訪問行為。同時，內置的API業務威脅模型，可以透視API常見的業務威脅，如：撞庫、爬蟲等，高效準確進行人機識別。 風險五：實時安全防護 面對未知的、多樣化的API攻擊，企業需開啟實時安全防護，對API安全威脅進行主動發現和響應，才能真正為業務築起安全防線，例如：能否實時細粒度阻斷、熔斷各類風險？能否在實現防護同時不影響業務？ 瑞數方案：基於企業對實時安全響應和業務發展的需求，瑞數API BotDefender內置靈活的API訪問控制策略，可基於API接口、API分組，API 管理責任人、源IP、訪問頻率、客戶端指紋、API令牌、User Agent、HTTP請求特徵等上百多個元素，對API接口實現精細化的訪問控制，支持多維度限頻、攔截、延時等，實現安全和業務的平衡。 目前，大多數企業在API安全應對上主要依賴傳統的身份認證、權限控管及請求內容校驗等安全機制，但黑產已經實現各類攻擊資源高度的模塊化和市場化，使得企業無法從容應對現有業務模式下API的各類新興威脅。 與傳統安全產品相比，瑞數API安全管控平台（API BotDefender）率先在業內提出了“ADMP安全模型”方法論，從API“感知、發現、監測、保護”四個角度出發，實現API數據傳輸、提供、公開的安全治理，體系化保障API安全。這彌補了各類產品的弊端，並具備多種核心優勢：

自動化API資產管理 傳統API網關主要實現鑑權和認證，缺少API安全層面的發現和管控。 瑞數API安全管控平台則可以快速自動地發現API資產，並可實現API接口的高精度識別和样式提取，對發現的API給出明確的認定；同時，顯示出清晰的API列表，對API接口的訪問情況一目了然，幫助用戶實現API資產生命週期管理。 API多維度攻擊防護 傳統WAF基於規則庫，只能固守規則對安全攻擊進行攔截，無法全方位透視業務威脅。 瑞數API安全管控平台採用全程式安全威脅防護技術，基於語義分析規則綜合性地對異常行為進行檢測分析，誤報率、漏報率明顯降低；通過流量分析和行為分析技術，精準構建API業務威脅模型。不僅覆蓋OWASP API Security Top10的攻擊防禦，且通過API業務威脅模型，能夠快速應對諸如爬蟲、撞庫等各類API業務安全威脅。 行業性敏感數據管控 瑞數API安全管控平台默認自帶有多種類的敏感數據識別策略，覆蓋政府、金融、運營商、醫療等行業幾十種常見敏感數據的識別，亦可根據行業用戶針對性業務特點進行敏感數據自定義標籤化數據，幫助用戶快速識別敏感數據。 動態響應防護 瑞數API安全管控平台能夠對攻擊和異常行為的結果或指定條件，進行動態響應防護，提升通過逆向探測或機器學習分析等攻擊手段的難度。 高能性處理 瑞數API安全管控平台從採集API數據、解構API報文、聯繫API上下關係等流程上優化數據處理，能支撐超大流量環境的API治理，支持的業務訪問數（TPS）能力是傳統方式的20倍。