瑞数信息专访丨以AI行为分析技术切入 全面管控数字时代的API安全风险

首页 / 业界 / 企业 /  正文
作者:藏青
来源:安全419
发布于:2022-05-25
随着企业数字化转型的加速,越来越多的企业开始大量的使用API技术来构成自身的竞争力和生命力。API开始成为数字时代的信息基础设施,在现代企业的商业模式中发挥着巨大的作用。
 
但随着API自身经济价值的凸显,攻击者和黑灰产从业者的觊觎也随之而来。API一旦被恶意利用,黑客有可能获取大量敏感数据,给企业带来严重损失。包括FaceBook、Linkedin这样具备一定安全能力的大型互联网公司都遭遇了因API安全问题导致的数据泄漏事件。Gartner也曾预测,“到2022年,API将成为网络攻击者利用最频繁的载体。”
 
安全419在与业内多家厂商朋友们的交流中发现,尽管当前已有多家厂商投身于API安全这一赛道,但有趣的点在于,厂商之间的竞争似乎并不激烈,大家都在从自身的能力出发,从各自的不同视角去看待、思考,并结合自身能力提出API安全建设方案。但某种程度上这也证明,API安全并非一个成熟的市场,安全厂商们也在摸着石头探索前进的方向。
 
瑞数信息是安全419近期接触到的一家业内主打动态安全技术和AI技术的应用安全厂商,因为API与应用面临的安全风险关联紧密,因此瑞数在API安全领域也有较早的投入。
 
在本篇文章中,我们再次邀请到了瑞数信息CTO马蔚彦带来自身对于API安全领域的观察和理解,并围绕API安全市场发展情况、瑞数信息在API领域的技术思路,以及未来API安全整体发展方向等话题进行了分享。
 
 
API正在从技术语言走向业务语言
 
API(Application Programming Interface)的本义是应用程序接口,主要的作用是实现应用程序或者软件组件之间的链接,通过API来实现它们之间的交互。马蔚彦指出,过去API主要用于企业内部,API的流量也以企业内部应用与应用之间的互访为主,利用API组件能够更快速地实现功能复用、功能调整,提升开发效率。“作为一项底层的开发技术,除了开发人员之外,几乎没人会过多地关注API。”
 
但随着云计算的发展,云原生、微隔离等技术出现后,API一举成为了实现微隔离、微服务和云原生的必要组成部分,甚至已经成为了数字时代的信息基础设施。与此同时,数字化的发展以及企业数字化转型的加速,也让API迅速从一个技术语言走向了业务语言。API也不再是一个纯粹的技术名词,而是逐渐走向业务化和商业化,以API为核心的商业模式——API经济也随之出现。
 
“这个时候API已经跳出了原来狭小的技术范畴,也不再仅仅连接企业组织内部,而是连接企业和企业,供应链上下游的商业生态,成为实现数字业务服务和数据交换的重要桥梁。当API成为IT系统和业务应用当中的一个组成部分之后,它的安全问题也就伴随而来了”,马蔚彦谈到。
 
API的安全是一个完整的安全命题
 
马蔚彦告诉我们,在《网络安全法》《数据安全法》出台之后,API的数据安全合规成为了企业重点关心的问题,因为作为数据交换的接口,API面临的数据泄露风险时非常高的。但事实上,API的安全绝非仅仅是数据安全,它面临的风险十分复杂,其中既有传统的漏洞风险和网络攻击风险,也有API滥用风险、僵尸API、非授权访问和不当配置等具有API自身特性的风险。“API的安全问题同应用安全实际上是类似的,它既存在保密性问题,也存在可用性问题,所以如何做好API安全是一个完整的安全命题。”

 
她介绍,从瑞数信息自身接触客户的情况来看,相比三年前,很多企业用户都已经提高了对API安全的重视程度,能够清晰地知道要做API的安全。在API方面用户主要面临两大问题,第一是对自身API资产情况并不掌握,不知道自己有多少API,不知道其中有多少个僵尸API、多少个未授权的API;第二是攻击者利用自动化手段在合法授权下针对API发起的攻击日益增多,但企业却不知道自己具体存在哪些API安全缺陷,如何组织起有效防线。
 
但事实上,尽管很多企业都已经意识到要做,但具体到怎么做的问题上,企业界仍然不是很清晰。在安全业界,各家安全厂商也在发布自己的API安全产品和解决方案,但企业用户们也存在自身不同的安全需求,仍然在观察和观望,探索和实践中。
 
传统API安全方案的局限性逐渐显现
 
据马蔚彦介绍,在过去,企业解决API安全问题主要依赖API网关和WAF两类产品,API网关主要用于解决访问控制和身份鉴权,来避免API接口被非法调用。WAF则主要通过规则的方式来发现流量中的恶意访问行为,通过寻找已知风险因子来避免威胁事件的发生。在API的数量级还没有爆炸式增长的时候,基于网关和WAF的防护手段是简单高效的,精细的访问控制规则能够将绝大多数的风险排除在企业边界之外。
 
但随着IT环境的开放,API的数量和分布都呈指数型增长,API协议的多样性,API可公开获取、与业务相对强的关联性等特点,以及在微服务架构下API的快速迭代和变化,让传统的API安全方案面临很大的挑战,让部署在边界上的网关形同虚设,基于规则的传统WAF防护技术、API网关的身份认证和鉴权技术,已经无法满足现有对于API接口被滥用、越权访问、僵尸API、信息泄漏等安全问题的防护需求。
 
与此同时,攻击者的攻击手段也在进化。攻击者正在利用多种手段尝试发现和滥用API,利用尚未被管理起来的僵尸API发起复杂的攻击,并利用自动化手段攻击API,寻找企业业务缺陷。
 
因此,面对更复杂的攻击方式,企业也需要一个能够真实阻断API安全风险的更优解。
 
瑞数信息:以AI行为分析技术作为解决API安全的基础
 
马蔚彦谈到,考虑到当前复杂的API安全形势,瑞数信息也基于自身技术优势,提出了新一代基于动态技术、Bots识别、行为分析的API融合防护体系,以期助力企业用户实现对API资源的安全管理和调用。
 
有别于很多从API安全网关的访问控制角度切入的安全厂商,瑞数信息以AI人工智能为支撑的行为分析技术作为突破口,推出一种新兴API融合防护方案——瑞数API安全管控平台(API BotDefender),集成了API资产发现、攻击检测、参数合规检测、行为检测、敏感数据识别、异常行为拦截处置等功能,覆盖了从资产发现到拦截处置的全链条。
 
她表示,相较于传统API安全方案,瑞数API安全管控平台(API BotDefender)着重强调API相关威胁的识别能力和防护能力的提升,以行为分析为基础更细粒度、更准确地识别风险,实现从API接入客户端到API服务器端的全程式API安全威胁防护。
 
图:瑞数信息API安全管控平台
 
在技术路线上,瑞数信息的API安全解决方案的核心竞争力表现在两个方面,其一是以AI人工智能为支撑的智能行为分析技术,其二是覆盖整个API安全的动态安全技术。
 
具体来讲,其智能行为分析技术融合了大数据分析、语义分析等多维度的分析技术,能够在用户与应用程序交互的过程中收集数据,并利用统计模型来持续监控并识别恶意行为,检测到异常请求,并对安全威胁进行实时感知。
瑞数API安全管控平台(API BotDefender)通过建立多维度访问基线和API威胁建模,对API接口的访问行为进行监控和分析。一方面,监控基线偏离状况,针对高频情况等进行防护,防止高频情况等造成的API性能瓶颈;另一方面,高效识别异常访问行为,避免恶意访问造成的业务损失。
 
针对API参数调用更加复杂的特性,瑞数信息还在API管控平台中加入了自学习的机制,以此来进一步实现对API请求参数进行合规管控,对不符合规范的请求参数实时管控。
 
其动态安全技术的优势则主要体现在可编程对抗的动态响应防护层面,因为API安全与应用安全也存在一定差异,在应用安全领域防御者可以直接阻断攻击行为,但在API的场景下,每一次的阻断的对象是服务地调用行为,如果对业务功能的调用进行拦截,势必会导致功能的不可用性。而具备动态响应防护能力的瑞数API安全管控平台,能够采取更细粒度的响应动作,可根据行为分析的结果或指定条件,进行动态响应防护,提升通过逆向探测或机器学习分析等攻击手段的难度。
 
据悉,除了API攻击防护外,在敏感数据管控的场景下,瑞数信息API安全管控平台也同样具备自身的优势。马蔚彦表示,在打造该平台期间,瑞数的研发团队将敏感数据的内容识别性能作为一个重点方向,并在其中投入了大量工作。目前,该平台在如手机号、银行卡号、身份证号等的敏感数据的识别效率能够超出业界平均水平十倍左右。此外,该平台还能够针对敏感数据进行脱敏或实时拦截,规避数据泄露风险。
 
据她透露,瑞数信息正在积极参与多个行业的API安全标准的制定和研讨,尤其在API的敏感数据识别方面,将是瑞数信息未来重点发力的方向之一。
 
API安全仍处于发展初期 国内厂商弯道超车不无希望
 
作为当前API安全赛道中的代表性厂商,瑞数信息如何看待当前API安全的发展阶段?围绕未来API安全的发展方向的话题我们也请马蔚彦分享了自己的观点。
 
在她看来,从整体的市场环境来看,当前API安全的整体发展已经走过了从无意识到有意识,正在从有意识到体系化建设的阶段。“我们看到部分走在前面的行业,包括金融行业、运营商行业的用户已经开始系统地考虑API安全建设,而不是单点性的覆盖。很多企业在考虑建设自己的数据安全体系以及应用安全体系的时候,就已经会将API作为整体的一部分统一纳入考虑采购的范畴。也是在他们的牵头推动下,相应的安全建设规范、标准也都在筹备当中。走在后面一些的行业也一定会追随这样的一个安全趋势,加紧API安全建设的步伐。”
 
而从技术的角度上,API安全的技术也处在一个发展初期。包括做API安全网关的厂商、云原生安全厂商,以及行业各个安全领域的厂商,都在探索未来API安全发展方向,提出不同角度的解决方案,无论是数据安全还是应用安全,相关的技术手段处在一个不断丰富的过程中。
 
马蔚彦表示,不管是对于客户还是对于安全厂商来说,现在都是一个非常好的机会期。在客户侧还存在很多包括需求、规划、标准等值得探讨的地方。对于厂商来说,在客户的需求推动下,厂商的技术手段也会逐渐打磨地更加成熟,这是一个双方互利互相推动的良好发展阶段,可以预测到未来几年,市场上提供的API安全产品必然会更加成熟。
 
从Gartner的技术成熟度曲线图中,API安全目前处于峰值偏下的区间中,距离成熟期尚有一段距离。这也说明,国外的相关厂商可能会比国内的成熟一些,但国内信息技术领域的优势也十分明显,虽然起步相对晚一些,但在API安全领域实现弯道超车,快速的走到国际领先水平仍大有希望。

期待在国际安全的视野下,看到中国安全厂商在API安全领域异军突起,一同拭目以待吧。