API作為應用與數據服務的通信接口,應用場景廣泛��。有人說�,未來的社會是API的社會。現代API往往隱藏在網絡應用之中��,在日常生活中接觸最為廣泛和熟知的身份認證��、電子支付��、定位、語音轉換等等基礎數字服務�����,都是以API的形式來顯現的�。API不僅服務于個人,也為許多企業的數字化轉型提供了強大動力�����。
根據postman監測的數據顯示�����,API已經在全球范圍內被充分接受��,并且呈現出持續增長的趨勢����。2021年�,通過postman平臺的API通信遍布全球234個不同國家,較同期增長56%,API已經幾乎在全世界被開發和調用�����。
根據GoogleCloud調查的結果顯示��,其API平臺Apigee的用戶API流量在2019年至2020年期間同比增長46%,已經達到2.21萬億次調用�����。這一增長反映了各行業數字化轉型接受度的增長��,越來越多的行業開展了數字化優先的業務戰略��。
隨著API的廣泛應用及爆炸式增長,API已然成為攻擊者竊取數據的重點攻擊對象�。研究部門Salt Labs發布的《2022年第一季度API安全狀況報告》顯示��,過去12個月,惡意API流量增加了681%�,95%的組織都經歷了API安全事件��。
2021年12月 國內某證券公司的客戶信息數據,包括用戶姓名��、手機號�、開戶時間、交易情況等敏感數據�,以每日1萬多條的量級在數據交易平臺被售賣�。經驗證分析����,證實為內部系統數據API管控疏忽導致。
2021年6月 黑客通過領英的API漏洞���,獲取到領英7億多用戶的個人數據,并在暗網銷售��。
2021年4月 臉書的某在線業務API遭誤用�,導致5億用戶數據被泄露,并在暗網公開售賣����。
API安全問題分析
API資產增長迅速��,API接口無法掃描和探測�����、資產識別有難度、權限不清晰,大量API接口沒有梳理,安全責任無法劃分落實。
不了解API接口傳輸數據哪些是敏感數據��,對敏感數據沒有有效防護�。
不能及時檢測對API發生的惡意攻擊、高位風險操作、安全漏洞等�����,比如異常訪問風險無法識別����、API接口未做鑒權、API傳輸內容無法檢測��。
對API異常訪問行為無法監控�����,API傳輸的敏感數據訪問行為無法管控���,對越權訪問���、權限濫用等問題也無有效防護方案����。
以上API安全問題,怎樣解決�?
API安全審計�����,可旁路部署在企業業務系統之中���,對企業業務系統API進行梳理�、風險識別、安全防護、形成接口畫像等核心功能,實現對API資產的掌握,敏感數據的防泄漏�,保護API安全運行����。
昂楷API審計核心功能
自定義添加或自動發現API資產�,建立API清單,與已知API清單進行比對�����,及時發現未知API和僵尸API���,對API進行分類���,設置責任人��。
自定義敏感數據或自動發現API傳輸的敏感數據����,對敏感數據訪問權限進行管控�����,對訪問的敏感數據進行脫敏��。
及時識別API風險,如對API的異常訪問、API接口未鑒權�、API接口漏洞�、API接口高危操作�����、OWASP TOP10風險檢測等。
對API安全檢測的風險及時預警,并阻斷風險操作�����,對敏感數據的訪問可進行敏感數據脫敏�����。
對API所有訪問操作都做全面審計���,并存儲審計記錄���,可事后追溯追責��。
統計訪問的API接口所屬業務系統、訪問源����、日活躍數��、風險數、請求返回數等���,形成API接口畫像。
昂楷API審計應用價值
摸清API家底���,掌握API資產現狀
API安全審計,可為企業系統梳理API資產��,摸清API家底�����,掌握API資產現狀���。
識別API傳輸敏感數據�,防止敏感數據泄露
可識別API傳輸敏感數據����,對訪問敏感數據的操作進行靈活處理,合法訪問者只做審計�,無權訪問者進行脫敏處理��,非法訪問者進行阻斷,防止敏感數據泄漏����。
事前-事中-事后實現API持續的安全防護
事前對API接口訪問操作形成接口畫像�,便于掌握企業系統API資產運行狀態����;
事中可識別API風險并及時預警,對風險操作進行阻斷���,保護API資產安全;
事后對API訪問操作進行審計�,發生安全事件可事后追溯追責����;最終實現API持續的安全防護狀態�����,為數字化轉型保駕護航�。
