7月10日,《網(wǎng)絡(luò)安全審查辦法(修訂草案征求意見稿)》公開征求意見;今年9月1日,《中華人民共和國數(shù)據(jù)安全法》就將開始實(shí)施……在此背景下,國家和企業(yè)對于數(shù)據(jù)保護(hù)和安全建設(shè)的訴求已經(jīng)提升到一個(gè)全新層次。而作為連接數(shù)據(jù)和應(yīng)用之間的重要通道,API正在成為攻擊者眼中撬開數(shù)據(jù)“蜜罐”的開瓶器。
API成數(shù)據(jù)安全最大風(fēng)險(xiǎn)敞口 如何打贏數(shù)字時(shí)代的“數(shù)據(jù)保衛(wèi)戰(zhàn)”?
在數(shù)字時(shí)代下,無論是互聯(lián)網(wǎng)商業(yè)創(chuàng)新還是傳統(tǒng)企業(yè)數(shù)字化轉(zhuǎn)型,都推動了API經(jīng)濟(jì)??梢哉f,API就是傳統(tǒng)行業(yè)價(jià)值鏈全面數(shù)字化的關(guān)鍵技術(shù),其連接的已不僅僅是系統(tǒng)和數(shù)據(jù),還有企業(yè)內(nèi)部職能部門、客戶和合作伙伴,甚至整個(gè)商業(yè)生態(tài)。但是,API目前所面臨的嚴(yán)峻安全挑戰(zhàn),卻很容易被管理者所忽視,也并無過往的應(yīng)對經(jīng)驗(yàn)。
從只用于企業(yè)內(nèi)部服務(wù)調(diào)用的API 1.0時(shí)代,到面向服務(wù)架構(gòu)的API 2.0時(shí)代,再到如今成為開放平臺和云原生微服務(wù)的API 3.0時(shí)代,API已經(jīng)逐步從限制性的局部接口,轉(zhuǎn)向更大和更廣的開放。這為開發(fā)者帶來了諸多好處,比如可公開獲取、標(biāo)準(zhǔn)化、高效且易于使用等,但同時(shí)其自身的風(fēng)險(xiǎn)敞口進(jìn)一步擴(kuò)大。Gartner在其《如何建立有效的API安全策略》報(bào)告中預(yù)測,“到2022年,API濫用將成為導(dǎo)致企業(yè)Web應(yīng)用程序數(shù)據(jù)泄露的最常見攻擊媒介。”
近年來,越來越多的攻擊者正利用API來實(shí)施自動化的“高效攻擊”,由API漏洞利用的攻擊或安全管理漏洞所引發(fā)的數(shù)據(jù)安全事件,嚴(yán)重?fù)p害了相關(guān)企業(yè)和用戶權(quán)益,逐漸受到各方的關(guān)注。比如:2021年4月,F(xiàn)acebook平臺上的5億用戶數(shù)據(jù)泄漏,涉及信息包括用戶昵稱、郵箱、電話、家庭住址等信息,事后判定為業(yè)務(wù)接口泄漏。時(shí)隔2個(gè)月,另一著名社交平臺LinkedIn領(lǐng)英,有超過7億用戶數(shù)據(jù)在暗網(wǎng)出售,涉及用戶的全名、性別、郵件以及電話號碼、工作職業(yè)等相關(guān)個(gè)人信息。據(jù)悉,部分?jǐn)?shù)據(jù)也是通過API泄露獲取。2020年,微博的3.5億數(shù)據(jù)泄露,就是來自于終端APP的業(yè)務(wù)邏輯API被非法流量調(diào)用超過40億次而導(dǎo)致。2020年,印尼最大的電商網(wǎng)站Tokopedia 9100萬用戶信息泄漏,里面涉及到用戶曾經(jīng)瀏覽到商品信息和訂單信息,也為業(yè)務(wù)接口泄漏。由于API既能夠起到連接服務(wù)的功能,又可以用來傳輸數(shù)據(jù),因此,API的安全防護(hù)非常重要也非常敏感。
整體來看,API所面臨的風(fēng)險(xiǎn)包括:憑據(jù)失陷、越權(quán)訪問、數(shù)據(jù)篡改、違規(guī)爬取、數(shù)據(jù)泄露等諸多安全風(fēng)險(xiǎn)。從API的安全訪問流程上進(jìn)行評估,實(shí)施的防護(hù)措施應(yīng)包含有效的身份認(rèn)證、可控的訪問授權(quán)、針對特定數(shù)據(jù)返回結(jié)果的篩選、訪問異常行為檢測及響應(yīng)等。而在大多數(shù)業(yè)務(wù)場景下,API在對外提供服務(wù)時(shí)并沒有部署良好的防護(hù)機(jī)制。究其原因,一方面是由于業(yè)務(wù)的快速迭代,安全負(fù)責(zé)人無法完整掌握API的使用情況、業(yè)務(wù)與安全存在割裂;另一方面是對現(xiàn)有API進(jìn)行安全改造的成本巨大。未來,API在數(shù)字化轉(zhuǎn)型中扮演的角色將愈發(fā)重要,因此亟需有效的解決方案對開放共享的數(shù)據(jù)核心資產(chǎn)提供保護(hù)。
然而,對于API的安全管控也并非易事。難題在于,盡管大多數(shù)安全從業(yè)者會建議隱藏資源、減少暴露面和攻擊面,但業(yè)務(wù)上成功部署的API卻傾向使資源更加開放和可用。并且隨著云原生時(shí)代的到來,微服務(wù)核心架構(gòu)下,API成為服務(wù)交付的必選,API遭遇的安全困局實(shí)際上也是現(xiàn)代網(wǎng)絡(luò)安全面臨的一個(gè)共性問題,對安全團(tuán)隊(duì)而言,既不能因?yàn)楸Wo(hù)業(yè)務(wù)而讓系統(tǒng)變得封閉,又要將API風(fēng)險(xiǎn)敞口保持在可控范圍之內(nèi),這就需要制定平衡業(yè)務(wù)與安全的API風(fēng)險(xiǎn)管理策略,并搭建功能完善、具備彈性的安全管控平臺。
凡事預(yù)則立不預(yù)則廢 安全管控平臺將風(fēng)險(xiǎn)化解于無形
API風(fēng)險(xiǎn)管控雖不易,卻仍有跡可循。
國內(nèi)創(chuàng)新安全廠商瑞數(shù)信息認(rèn)為,API管控應(yīng)做到內(nèi)化于心、外化于行。在內(nèi)部做到心中有數(shù),在外部做到知行合一。
API的安全防護(hù)離不開業(yè)務(wù)層面上對API的開發(fā)管理。一般來說,API的安全開發(fā)需要開發(fā)人員具備API安全開發(fā)的知識和意識,并遵循安全開發(fā)規(guī)范對API進(jìn)行開發(fā)和部署。例如使用基礎(chǔ)的用戶名密碼的方式進(jìn)行身份驗(yàn)證,或者通過API密鑰即令牌字符串進(jìn)行安全防護(hù),或者基于OAuth框架進(jìn)行用戶身份信息的驗(yàn)證以及基本信息的校驗(yàn)。
不僅在開發(fā)層面,事實(shí)上,對API的安全管控是一件從開發(fā)、應(yīng)用,到運(yùn)營、維護(hù),整個(gè)階段都要參與和防護(hù)的過程,這一點(diǎn)和傳統(tǒng)的網(wǎng)絡(luò)防護(hù)有所區(qū)別又有相似之處。在此背景下,瑞數(shù)信息創(chuàng)新地推出API安全管控平臺——API BotDefender,致力于幫助企業(yè)做到對API安全風(fēng)險(xiǎn)的可知和可控。
有別于很多單純從API安全網(wǎng)關(guān)角度切入的安全廠商,瑞數(shù)信息在技術(shù)路線上將攻擊的防御能力與AI智能的數(shù)據(jù)分析能力進(jìn)行全面融合,由此推出具有API感知、發(fā)現(xiàn)、監(jiān)控、保護(hù)能力的API BotDefender,是一種結(jié)合了以上兩種API安全方案優(yōu)勢的創(chuàng)新方案。該平臺包括API資產(chǎn)管理、攻擊防護(hù)、敏感數(shù)據(jù)管控和訪問行為管控四大模塊,為API接口提供完整的安全管控方案。
在資產(chǎn)管理模塊中,實(shí)現(xiàn)對API資產(chǎn)的統(tǒng)一管理。API資產(chǎn)管理基于數(shù)據(jù)建模自動發(fā)現(xiàn)被保護(hù)站點(diǎn)的API資產(chǎn),對API資產(chǎn)進(jìn)行梳理、分析和上下線,幫助客戶實(shí)現(xiàn)API資產(chǎn)的生命周期管理。
攻擊防護(hù)模塊綜合利用智能規(guī)則匹配及行為分析的智能威脅檢測引擎,持續(xù)監(jiān)控并分析流量行為,有效檢測威脅攻擊。智能威脅檢測引擎在用戶與應(yīng)用程序交互的過程中收集數(shù)據(jù),并利用統(tǒng)計(jì)模型來確定HTTP請求的異常。一旦確定異常情況,智能引擎就會使用機(jī)器學(xué)習(xí)獲得的多種威脅模型來確定異常攻擊。
敏感數(shù)據(jù)管控模塊會對API傳輸中的敏感數(shù)據(jù)進(jìn)行識別,針對敏感數(shù)據(jù)可以進(jìn)行脫敏處理或者實(shí)時(shí)攔截,防止敏感數(shù)據(jù)泄露。
訪問行為管控模塊將對API接口的訪問行為進(jìn)行分析,通過多維度建立API訪問基線、API威脅建模,發(fā)現(xiàn)異常訪問行為,避免惡意訪問和接口濫用造成的業(yè)務(wù)損失。
完備的模塊功能讓API BotDefender能夠?qū)崿F(xiàn)從API接入的客戶端到API服務(wù)器端的全程式API安全威脅防護(hù)。API BotDefender不僅可以快速自動地發(fā)現(xiàn)API,并且針對發(fā)現(xiàn)的API給出明確的認(rèn)定,還可以顯示出清晰的API列表,對API接口的訪問情況一目了然。同時(shí),通過精準(zhǔn)地構(gòu)建API畫像,可以快速預(yù)覽各個(gè)業(yè)務(wù)的API情況,包括使用情況、異常情況、訪問來源等,并且可根據(jù)行為分析的結(jié)果或指定條件,進(jìn)行動態(tài)響應(yīng)防護(hù),提升通過逆向探測或機(jī)器學(xué)習(xí)分析等攻擊手段的難度。
一個(gè)優(yōu)秀的安全管理平臺不僅要與業(yè)務(wù)有良好的契合度,具備強(qiáng)大的安全管控能力,還要容易部署和運(yùn)維。在部署方式上,API BotDefender非常靈活,支持串聯(lián)及旁路鏡像的方式,以及軟件、硬件和云等多種模式,可以大大降低部署、管理和維護(hù)成本。同時(shí),占用資源少,不影響服務(wù)器的正常運(yùn)行,可以實(shí)現(xiàn)應(yīng)用無感知部署。
如今,API安全已經(jīng)成為企業(yè)時(shí)刻需要關(guān)注的安全問題,缺乏良好防護(hù)策略的API服務(wù),不僅會對用戶的使用體驗(yàn)以及個(gè)人隱私帶來威脅,而且還會使企業(yè)面臨未知的安全風(fēng)險(xiǎn)。為了提高API安全性,開發(fā)人員需要在設(shè)計(jì)和開發(fā)階段,對API的安全性進(jìn)行良好的構(gòu)建和設(shè)計(jì)。對于管理人員來說,則可以使用API安全管控平臺這樣的安全工具,從而可以更好地對未知風(fēng)險(xiǎn)進(jìn)行檢測和防護(hù),做到未雨綢繆、防患于未然。