API作為應用與數(shù)據(jù)服務的通信接口,應用場景廣泛。有人說,未來的社會是API的社會。現(xiàn)代API往往隱藏在網絡應用之中,在日常生活中接觸最為廣泛和熟知的身份認證、電子支付、定位、語音轉換等等基礎數(shù)字服務,都是以API的形式來顯現(xiàn)的。API不僅服務于個人,也為許多企業(yè)的數(shù)字化轉型提供了強大動力。
根據(jù)postman監(jiān)測的數(shù)據(jù)顯示,API已經在全球范圍內被充分接受,并且呈現(xiàn)出持續(xù)增長的趨勢。2021年,通過postman平臺的API通信遍布全球234個不同國家,較同期增長56%,API已經幾乎在全世界被開發(fā)和調用。
根據(jù)GoogleCloud調查的結果顯示,其API平臺Apigee的用戶API流量在2019年至2020年期間同比增長46%,已經達到2.21萬億次調用。這一增長反映了各行業(yè)數(shù)字化轉型接受度的增長,越來越多的行業(yè)開展了數(shù)字化優(yōu)先的業(yè)務戰(zhàn)略。
隨著API的廣泛應用及爆炸式增長,API已然成為攻擊者竊取數(shù)據(jù)的重點攻擊對象。研究部門Salt Labs發(fā)布的《2022年第一季度API安全狀況報告》顯示,過去12個月,惡意API流量增加了681%,95%的組織都經歷了API安全事件。
2021年12月 國內某證券公司的客戶信息數(shù)據(jù),包括用戶姓名、手機號、開戶時間、交易情況等敏感數(shù)據(jù),以每日1萬多條的量級在數(shù)據(jù)交易平臺被售賣。經驗證分析,證實為內部系統(tǒng)數(shù)據(jù)API管控疏忽導致。
2021年6月 黑客通過領英的API漏洞,獲取到領英7億多用戶的個人數(shù)據(jù),并在暗網銷售。
2021年4月 臉書的某在線業(yè)務API遭誤用,導致5億用戶數(shù)據(jù)被泄露,并在暗網公開售賣。
API安全問題分析
API資產不清,不易管理
API資產增長迅速,API接口無法掃描和探測、資產識別有難度、權限不清晰,大量API接口沒有梳理,安全責任無法劃分落實。
敏感數(shù)據(jù)資產不清,疏于防護
不了解API接口傳輸數(shù)據(jù)哪些是敏感數(shù)據(jù),對敏感數(shù)據(jù)沒有有效防護。
API安全檢測能力缺失
不能及時檢測對API發(fā)生的惡意攻擊、高位風險操作、安全漏洞等,比如異常訪問風險無法識別、API接口未做鑒權、API傳輸內容無法檢測。
API安全防護無有效方案
對API異常訪問行為無法監(jiān)控,API傳輸?shù)拿舾袛?shù)據(jù)訪問行為無法管控,對越權訪問、權限濫用等問題也無有效防護方案。
以上API安全問題,怎樣解決?
API安全審計,可旁路部署在企業(yè)業(yè)務系統(tǒng)之中,對企業(yè)業(yè)務系統(tǒng)API進行梳理、風險識別、安全防護、形成接口畫像等核心功能,實現(xiàn)對API資產的掌握,敏感數(shù)據(jù)的防泄漏,保護API安全運行。
昂楷API審計核心功能
API資產梳理
自定義添加或自動發(fā)現(xiàn)API資產,建立API清單,與已知API清單進行比對,及時發(fā)現(xiàn)未知API和僵尸API,對API進行分類,設置責任人。
敏感數(shù)據(jù)管控
自定義敏感數(shù)據(jù)或自動發(fā)現(xiàn)API傳輸?shù)拿舾袛?shù)據(jù),對敏感數(shù)據(jù)訪問權限進行管控,對訪問的敏感數(shù)據(jù)進行脫敏。
API安全檢測
及時識別API風險,如對API的異常訪問、API接口未鑒權、API接口漏洞、API接口高危操作、OWASP TOP10風險檢測等。
API安全管控
對API安全檢測的風險及時預警,并阻斷風險操作,對敏感數(shù)據(jù)的訪問可進行敏感數(shù)據(jù)脫敏。
API安全審計
對API所有訪問操作都做全面審計,并存儲審計記錄,可事后追溯追責。
API接口畫像
統(tǒng)計訪問的API接口所屬業(yè)務系統(tǒng)、訪問源、日活躍數(shù)、風險數(shù)、請求返回數(shù)等,形成API接口畫像。
昂楷API審計應用價值
摸清API家底,掌握API資產現(xiàn)狀
API安全審計,可為企業(yè)系統(tǒng)梳理API資產,摸清API家底,掌握API資產現(xiàn)狀。
識別API傳輸敏感數(shù)據(jù),防止敏感數(shù)據(jù)泄露
可識別API傳輸敏感數(shù)據(jù),對訪問敏感數(shù)據(jù)的操作進行靈活處理,合法訪問者只做審計,無權訪問者進行脫敏處理,非法訪問者進行阻斷,防止敏感數(shù)據(jù)泄漏。
事前-事中-事后實現(xiàn)API持續(xù)的安全防護
事前對API接口訪問操作形成接口畫像,便于掌握企業(yè)系統(tǒng)API資產運行狀態(tài);
事中可識別API風險并及時預警,對風險操作進行阻斷,保護API資產安全;
事后對API訪問操作進行審計,發(fā)生安全事件可事后追溯追責;最終實現(xiàn)API持續(xù)的安全防護狀態(tài),為數(shù)字化轉型保駕護航。
