站长之家用户 - 传媒 2022-04-27 14:47

API乱象何时休?瑞数信息重拳出击去“顽疾”

在“万物皆可API”的时代,通过API快速构建产品和服务、迅速响应客户需求已是数字化企业的必备技能。但同时,API承载着越来越复杂的应用程序逻辑和越来越多敏感数据的特征,也使得API成为黑产的重点攻击目标。

近年来,不少国际知名企业都因API安全疏忽而遭受了巨大的打击。不仅如此,据研究部门Salt Labs发布的《 2022 年第一季度API安全状况报告》显示,在过去 12 个月中,恶意API流量增加了681%,95%的组织都经历了API安全事件。然而,大多数组织并没有准备好应对这些挑战,超过三分之一(34%)的企业没有API安全策略。

API五大安全风险,你中招了吗?

2021 年,我国《数据安全法》正式施行,数据安全步入法治化轨道,API安全也随之进入依法建设的新阶段。从《数据安全法》对数据传输、提供、公开的技术要求角度看,国内政企机构API应用主要面临五大管理挑战和安全风险:

风险一:API资产无法有效管理

由于API数量增长太快,很多企业都不清楚自己拥有多少个API,以及API处于什么样的状态。API接口无法扫描和探测,大量的API接口如何梳理?如果API资产不清,安全责任如何划分落实?又如何解决API资产的生命周期管理问题?

瑞数方案:针对API资产管理的挑战,瑞数API 安全管控平台(APIBotDefender)可以持续发现API接口、建立API清单,并与业务方提供的API清单进行比对,以及时发现未知的API和僵尸API。同时,对API接口实现分类、分组、并指派责任人,实现数据分权管理;并提取API接口样式,为API接口提供可视化展示。

风险二:API安全攻击风险

不安全的API会持续扩大应用程序攻击面,让黑客更容易进行侦察、收集配置信息以及策划网络攻击。当API面临各种安全攻击,企业如何进行有效识别和防护?例如:API请求参数是否合规?API接口调用顺序是否合规?

瑞数方案:面对多样化的API攻击,瑞数API安全管控平台可以基于已知业务逻辑和依赖关系定义API接口调用顺序,防止绕过业务逻辑的访问行为,提前设置接口请求参数调用规则,拒绝非法的API请求参数调用,降低安全配置错误,缩小攻击面。同时,支持API安全攻击检测和防护,并引入语义分析技术,进一步提高检测准确性。

风险三:敏感数据管控

如今针对API的攻击已成为恶意攻击者的首选,越来越多的黑客利用API窃取敏感数据并进行业务欺诈。如果企业未对敏感信息等数据进行脱敏处理,且未加密传输,一旦流量被截获、破解,将对企业、公民个人权益造成严重影响。因此,企业需要更深入了解哪些API携带了什么类型的敏感信息;如何识别API访问中的敏感数据;对API中的敏感数据,如何实现控制;如何应对合规审计的要求等。

瑞数方案:为了更好地管控敏感数据,满足合规审计需求,瑞数API安全管控平台内置敏感信息检测引擎,覆盖姓名、手机号、身份证、银行卡、密码等 18 种敏感数据类型,可以对敏感信息进行自动分级,实时洞察API接口中双向传输的敏感数据、明文密码和弱密码,并及时对API接口回传报文中的敏感信息进行脱敏处理,规避数据泄漏风险。

风险四:API异常访问风险

随着自动化攻击手段的不断升级,企业即使建立了身份认证、访问授权、敏感数据保护等机制,有时仍无法避免黑客以机器模拟正常用户行为来实施攻击。面对以合法身份登录、模拟正常操作、多源低频的API访问请求,企业能否察觉访问行为是否异常?如何管理API的访问行为,从API访问中如何识别业务风险?针对异常访问,又如何实现管控?

瑞数方案:以合法身份登录、模拟正常操作、多源低频的API访问请求,是API攻击很难被发现的重要原因。对此,瑞数API 安全管控平台基于多维度实时监控 API 接口的访问行为,包括访问成功率、耗时、TPS、并发数、攻击事件等维度,建立API访问基线,能够及时发现偏离基线的异常访问行为。同时,内置的API业务威胁模型,可以透视API常见的业务威胁,如:撞库、爬虫等,高效准确进行人机识别。

风险五:实时安全防护

面对未知的、多样化的API攻击,企业需开启实时安全防护,对API安全威胁进行主动发现和响应,才能真正为业务筑起安全防线,例如:能否实时细粒度阻断、熔断各类风险?能否在实现防护同时不影响业务?

瑞数方案:基于企业对实时安全响应和业务发展的需求,瑞数API BotDefender内置灵活的API访问控制策略,可基于API接口、API分组,API 管理责任人、源IP、访问频率、客户端指纹、API令牌、UserAgent、HTTP请求特征等上百多个元素,对API接口实现精细化的访问控制,支持多维度限频、拦截、延时等,实现安全和业务的平衡。

目前,大多数企业在API安全应对上主要依赖传统的身份认证、权限控管及请求内容校验等安全机制,但黑产已经实现各类攻击资源高度的模块化和市场化,使得企业无法从容应对现有业务模式下API的各类新兴威胁。

与传统安全产品相比,瑞数API安全管控平台(APIBotDefender)率先在业内提出了“ADMP安全模型”方法论,从API“感知、发现、监测、保护”四个角度出发,实现API数据传输、提供、公开的安全治理,体系化保障API安全。这弥补了各类产品的弊端,并具备多种核心优势:

自动化API资产管理

传统API网关主要实现鉴权和认证,缺少API安全层面的发现和管控。

瑞数API安全管控平台则可以快速自动地发现API资产,并可实现API接口的高精度识别和样式提取,对发现的API给出明确的认定;同时,显示出清晰的API列表,对API接口的访问情况一目了然,帮助用户实现API资产生命周期管理。

API多维度攻击防护

传统WAF基于规则库,只能固守规则对安全攻击进行拦截,无法全方位透视业务威胁。

瑞数API安全管控平台采用全程式安全威胁防护技术,基于语义分析规则综合性地对异常行为进行检测分析,误报率、漏报率明显降低;通过流量分析和行为分析技术,精准构建API业务威胁模型。不仅覆盖OWASP API Security Top10 的攻击防御,且通过API业务威胁模型,能够快速应对诸如爬虫、撞库等各类API业务安全威胁。

行业性敏感数据管控

瑞数API安全管控平台默认自带有多种类的敏感数据识别策略,覆盖政府、金融、运营商、医疗等行业几十种常见敏感数据的识别,亦可根据行业用户针对性业务特点进行敏感数据自定义标签化数据,帮助用户快速识别敏感数据。

动态响应防护

瑞数API安全管控平台能够对攻击和异常行为的结果或指定条件,进行动态响应防护,提升通过逆向探测或机器学习分析等攻击手段的难度。

高能性处理

瑞数API安全管控平台从采集API数据、解构API报文、联系API上下关系等流程上优化数据处理,能支撑超大流量环境的API治理,支持的业务访问数(TPS)能力是传统方式的 20 倍。

相关话题

特别声明:以上内容(如有图片或视频亦包括在内)均为站长传媒平台用户上传并发布,文章为企业广告宣传内容,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。任何单位或个人认为本页面内容可能涉嫌侵犯其知识产权或存在不实内容时,可及时向站长之家提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明(点击查看反馈联系地址)。本网站在收到上述法律文件后,将会依法依规核实信息,沟通删除相关内容或断开相关链接。

推荐关键词

24小时热搜

查看更多内容

大家正在看