就目前而言,随着API技术逐渐成为现代数字业务环境的基础组成,作为企业数字化转型发展战略实现的核心要素,其以一种低成本实现数据流通的方式,连接场景与供应商,使数据价值最大化输出,推进跨企业、跨行业甚至跨领域的合作。然而,API 数量剧增,现阶段 API 架构的安全建设却相对滞后,增速与安全发展的不平衡使其成为企业数据安全最大的风险敞口。
根据美国安全厂商Noname Security发布的《API 安全断开——2022 年 API 安全趋势》报告显示 ,76% 的受访者在过去 12 个月中遭遇过 API 安全事件。因此,API安全已然成为企业需要重点关注的安全问题,缺乏良好防护策略的API服务,不仅会对用户的使用体验以及个人隐私带来威胁,而且还会使企业面临未知的安全风险。
API是数据交换的重要信道
作为数据传输的重要通道,API日益普及,让企业将资产从数据孤岛中解放出来,保证其在不同环境下均可实现良好的互操作性与可重用性。目前,API流量现在占当前互联网流量的80%以上,调用的增长速度是HTML流量的两倍。API几乎与所有类型的数据进行交互,若企业无法有效部署安全策略,那么整个数字化业务系统就会有崩溃的可能。
基础的API安全架构,如API网关或Web应用程序防火墙(WAF)等,仅对企业的API资产提供有限的可见性,无法提供传输的敏感数据类型的可见性。此外,“僵尸API”和“影子API”缺乏持续补丁、维护或更新,也将成为攻击者的跳板,为企业带来严重安全隐患。
满足相关合规要求
企业所存储的数据量不断增加时,满足数据合规性要求对保护敏感数据同样重要。满足《数据安全法》、《个人信息安全保护法》等相关条例,履行数据安全保护义务,建立数据安全保护技术手段,落实API安全风险管控考核指标项相关要求,防止数据泄露并防止未经授权的访问或滥用。
如何建立API和敏感数据安全防御体系
传统的应用程序安全解决方案一直是网络安全堆栈的基础,但这些解决方案无法提供API安全多维度防护能力。因此,企业需要建立起API全生命周期安全管理方案,发现API生产过程中的风险,检测并补救API威胁、拦截针对API的漏洞攻击及数据窃取行为等,以下主要分享四种安全策略:
• API发现:一个好的API发现解决方案需要包含API端点、参数、属性和使用的API协议(包括gRPC、GraphQL、SOAP和REST)等以及所有的第三方API配置。同时,随着API的更新或开发,也需要持续跟踪并记录相关参数。
• 态势管理:态势管理提供流量、代码和配置的全面视图,以评估企业的API安全态势,还能够识别通过API传输的所有形式的敏感数据。
• 运行时保护:以AI和ML为基础,检测API流量中的异常和潜在威胁,并根据企业预先选择的事件响应策略进行补救。
• API安全测试:旨在在API生产前消除漏洞,降低风险,从而加强企业的合规性计划。
综上所述,安全419注意到,威胁猎人推出的API安全管控平台,基于“以情报建立API安全基线”的理念,通过情报能力快速、有效发现、治理企业在数字化过程中存在的大量API风险问题,也为整个行业提供了更优的API安全解决方案。据此前,威胁猎人的COO邵付东在接受安全419采访时曾介绍道,其提出的 API 全生命周期安全防护模型一方面源于威胁猎人长期在业务安全上的实践,同时也源于客户一侧对 API 安全的实际需求总结,即总体来自用户侧 API 安全真实需求且基于业务的方法梳理。
京公网安备 11010802033237号
