API已成为整个IT架构中的重要基础设施
API并不是什么新鲜事物,与其相关的安全问题也并非是近段时间才出现的,但为什么会成为当前业内所普遍关注的一个重要问题呢?邵付东指出,在万物互联的数字化时代下,数据已成为生产要素,在业务活动中,很多服务都是通过API去交互数据,可以看出API也成为了整个IT架构中的重要基础设施。
他在现场引用了一份数据—— 有80%的企业每个月都会上线新的API,有50%的企业基本上是每一周都会上线API,这意味着随着对业务快速发展的需求,API的迭代和发布周期也随之加快,而在这一情况下,很多企业更多出于业务发展层面考量,而将与之相关安全保障工作的优先级置于较低位置,就这样埋下了潜在的风险。
与此同时,我们也会看到API会面临数据安全和业务安全两大风险点。比如因API接口遭攻击导致数据泄露的事件其实是较为高频的发生着,在《数据安全法》《个人信息保护法》已经施行的今天,意味着API带来的安全风险不仅会对企业的业务造成损失,也带来了违法违规层面的更严重问题。
API安全管理面临的三大挑战
永安在线COO 邵付东
邵付东在现场分享中为大家总结道,当前API安全管理所面临的挑战主要来自于三个方面,分别是:
一、资产未知。他指出,很多企业并不清楚当前API资产,哪怕其中有些企业已经应用了API网关,也无法保证所有的系统都会上网关,他举例道,“一个短期的营销活动,有些企业的人员可能会觉得反正它上线不久后也会下线,所以并没有将相关的API上到网关,但根据我的亲身经历来看,大多数这种情况的结果都是最后没有下线。”因此,仅仅是了解自己的系统中有哪些API,都成为企业在目前这种追求快速迭代情景下难以应对的问题。
二、攻击未知。这一点不难理解,包括FaceBook、Linkedin这样具备一定安全能力的大型互联网公司都遭遇了因API安全问题导致的数据泄漏事件。其本质上是由于此类攻击流量隐藏较深的特点,导致其风险的感知难度很高。
三、阻断未知。虽然很多企业也配备了一些安全设备,但在大量的报警信息中可能只有几个是有效的,随后如何去有效的阻断?这无疑是企业API安全管理的一项巨大挑战。
在谈完上述内容后,邵付东强调道:“现有的包括WAF、API网关等产品在内安全解决方案虽然可以解决部分API安全问题,但在API安全管理方面有着明显不足。”
比如WAF在企业的应用中,不会是所有的API流量都会经过WAF,尤其是东西向流量,而WAF很多时候是基于每一条流量去做出判断,但无法解决API逻辑攻击问题。至于API网关除了前面所提及的影子网关问题之外,其授权和限额等方法无法解决海量小号、秒拨代理IP低频攻击等问题。
基于情报构建API行为基线 API安全管理的更优解
那么为了应对这些API安全相关的风险和挑战,邵付东也分享了永安在线思考和相关解决方案——永安在线API安全管控平台。
他在演讲中谈到,通过旁路流量分析,能够以持续动态的方式去梳理API资产,做到只要API一上线或开始服务就能够被快速梳理出来,同时还可以掌握到哪些敏感数据是在流动的。而基于情报所能赋予的能力,更是可以保证针对API的攻击被及时发现并阻断,而且精准度很高,而这些特点则进一步形成了该平台在API资产梳理、敏感数据管理、API风险感知、API安全缺陷评估等多方面的能力优势。
之所以有此判断,是在于永安在线目前针对API安全管理问题所提出的解决思路和方法,更多是来自于他们此前相关情报产品在客户层面的应用和反馈,源于真实的用户场景,并在这一基础之上加以不断地思考和实践而得出的,并非是脱离现实的空中楼阁。
邵付东在现场具体介绍到,攻击者在发起攻击时必然会用到一些资源,比如IP、自动化工具等等,而通过情报来构建API行为基线,结合其能力去发现其中是否存在风险特征,相对而言无疑是具有高精确度且更为便捷的方式。
比如前面所提到的营销活动案例,某些基于规则而不是风险特征的产品,在应对未知威胁时存在很大不足,比如某促销活动时期的短时流量暴增现象,这类产品往往会将其判断为流量异常并告警,那么相关的人员就要去应对和处理,但实际上这种活动产生的流量暴增是很正常的现象,相比之下,基于情报的能力是依据风险特征去识别和发现流量中的异常,精准度会大幅提升,且不会受到正常流量的波动而影响。
简而言之,通过情报为业务建立API安全基线的API安全管控平台,在实际应用中具备误判率低,可用性高的特点,能够做到及时全面感知企业外部API风险的同时,基于精准预警输出的攻击者IOC情报,可以联动WAF或风控系统等快速处置攻击风险,从而帮助企业实现更好的进行API风险识别及阻断。
每一个API都可能会成为系统薄弱点 因而需要安全每一个API
纵观当前火热的API安全赛道,众多厂商都在以各自的视角去看待、思考并提出自己的安全建设思路,而永安在线这种基于情报的API安全管理解决方案,在API风险评估及API风险感知层面有着较为突出的优势。
当然,对于安全而言,没有任何一个解决方案可以解决所有的问题,围绕API安全也是如此,因而我们也乐于看到永安在线这种有着前期能力积累的厂商,其安全能力能够进一步延伸,覆盖用户的更多安全需求,为广大用户提供基础扎实的成熟度更高的API安全产品及解决方案。
在演讲的最后,邵付东总结道,随着数字化进程的不断推进,数字经济的发展,围绕API已经形成了一个新的攻防面,每一个API都有可能成为系统中的一个薄弱点。
这也许就是永安在线API安全管控平台的Slogan——“安全每一个API”的出发点。