引子:API 为啥对数据安全这么重要?
在数字化浪潮下,API(应用程序编程接口)已成为企业数字化转型和创新的关键驱动力。它就像一座桥梁,连接着不同的软件应用和系统,实现数据的高效交互与共享。它不仅打破了数据孤岛,让企业内部不同系统之间、企业与外部合作伙伴之间的数据流通变得顺畅无阻,还极大地推动了业务创新和效率提升。
以开放银行模式为例,银行通过开放 API,将账户信息、支付功能等开放给第三方开发者,后者基于这些 API 开发出各种创新的金融应用,如智能理财助手、便捷支付工具等,为用户带来了全新的金融服务体验。
也正因为 API 在数据交互中扮演着如此关键的角色,其安全性直接关系到数据安全的全局。过去两三年的国家HW行动中,很多企业失分失守跟API安全有莫大关系。
多起震惊业界的数据泄露事件都与 API 安全漏洞有关。这些案例警示我们,API 安全的关键就是API数据安全。
一、API 安全面临的 “暗箭” 有哪些?
在看似平静的数据交互海面下,API 安全面临着诸多 “暗箭”。2023 Owasp API安全top10中与数据安全直接相关的安全漏洞,有API1:对象级授权失效,API2:用户身份验证失效,API3:对象属性级授权失效,API5:功能级授权失效,API9:库存管理不当。详情如下表所示 :
二、API 数据安全关键在于这四项基础能力
API 安全的核心价值是数据安全,为保障 API 数据安全,API 数据安全平台化是趋势,但关键能力在于 API 发现与识别,API资产纳管、API 安全态势管理以及 API 威胁检测与响应三项能力的构建。
API 发现与识别
在复杂的网络环境中,自动化且准确的发现和识别业务系统全量API 是保障其安全的第一步。企业内部和外部的 API 数量众多,且可能存在未被记录的 “影子 API” ,这些都增加了发现与识别的难度。
传统的 API 发现方法往往依赖于手动梳理和文档记录,这种方式效率低下且容易遗漏。
基于流量分析的技术,通过捕获和分析网络流量,甚至借助AI从中识别出 API 的通信模式和特征,从而发现隐藏在网络中的 API。这种方式对于“准确性”以及“全量”的要求,还有不小的差距。
基于应用Agent,一方面一次性从应用系统运行库中读取所有的API,形成API清单,同时也通过应用Agent监测活跃API的行为以及获取数据流转的全链路。
这种方式能够满足“准确性”以及“全量”的要求,无论是对于互联网访问的API还是企业内部应用之间访问的API,都可以准确全量识别。
API 资产纳管(API数据分类分级)
API资产纳管顾名思义,就是基于API的业务功能与数据交互,从业务重要性与数据敏感性等特征,纳入安全资产的管理范畴。API资产纳管的重要内容就是API数据的分类分级。API动态数据的分类分级需要与静态的数据库数据数据分类分级彼此上下文联动。基于数据血缘,实现数据分类分级标签的自动传播。
API 安全态势管理
了解 API 的安全态势,就如同了解一个人的健康状况,需要全面、实时的监测。API 安全态势管理就是对 API 的整体安全状况进行评估和监控,包括 API访问权限是否合理、API敏感信息是否存在过度暴露、API 的配置是否正确、是否存在漏洞等。
API安全漏洞当前关切度最高的是越权漏洞,而越权漏洞属于业务逻辑漏洞,传统漏洞检测方式高度依赖专家经验,且半自动化的方式效率底下。有另一篇文章专门讲述API越权漏洞检测,这里就不多说了。
那如何对API 的整体安全状况进行评估和监控呢?以业务系统为单位,可以做以下几件事:
- API活跃清单监测,关注风险API;
比如监测常见风险类API,比如具有上传、下载和验证码功能的API,监测失活或者僵尸API等。
- 提升API数据权限的可见性;
API数据权限的可见性基本内容包括:哪些人具有哪些API的访问权限,具体维度包括业务系统、API数据类别,安全级别,API数据详情等,它是数据资产暴露面收敛的关键,没有API数据权限的可见性,就很难谈基于“最小够用”原则来谈基于数据的访问控制。
API 数据威胁检测与响应
当 API数据 面临威胁时,及时的检测和有效的响应至关重要,这就像人体的免疫系统,能够快速识别并抵御入侵的病毒。常见的检测技术包括基于规则的检测,和基于机器学习的异常检测,但效果一般,存在比较大的误报率。
用户数据行为分析(UBA)+AI大模型的方式,在API数据威胁监测中,威力已经展现。
包含有用户信息的数据全链路跟踪日志作为输入,通过Anomaly Transformer构建异常检测模型进行API异常的威胁检测,产生告警日志。且以“用户”为整体观测对象,纵观用户的现在与历史的告警行为并进行综合风险评分,得出威胁响应处理的用户排名,这极大降低了告警噪声。
在响应方面,一旦检测到威胁,需要立即采取措施,与其他设备比如WAF或者防火墙进行联动等。
三、底层技术原理解释
在构建 API 数据安全体系的过程中,底层技术是其坚实的支撑。应用 Agent 采用安全切面技术,并实现了数据全链路跟踪分析,这为 API 数据安全提供了强大的技术保障 。
应用 Agent 是一种轻量级的程序,它可以像 “影子” 一样附着在应用程序上,实时监控应用程序与 API 之间的交互。它通过字节码增强等底层技术实现安全切面,在不修改应用程序源代码的前提下,将安全监控逻辑动态地插入到应用程序的运行时环境中。这些切面可以在 API 调用的不同阶段,如请求前、请求处理中、响应后等,动态地织入到业务流程中。
//配图(说明安全切面)
就好比在一场演出中,Agent 就像是隐藏在幕后的技术人员,默默地监控着舞台上(应用程序)的一举一动,确保演出(API 交互)的顺利进行。
数据全链路跟踪分析技术就像是给数据交互过程安装了一个 “GPS”,它通过多个安全切点记录 API 调用过程中数据的流向、处理步骤以及各个环节的时间消耗等信息。通过对这些信息的分析,我们可以全面了解 API 的运行状态,及时发现潜在的性能问题和安全隐患。
比如,当发生安全事件时,全链路跟踪数据可以帮助我们快速定位问题源头,追溯攻击路径,为安全事件的应急响应提供有力支持 。
如果你想对安全切面的技术有个全面的了解,可以搜索下载蚂蚁金服2021年12月发布的《安全平行切面白皮书》进行阅读。
欢迎试用
在 API 数据安全这片充满挑战的领域,我们诚挚推荐 [如影DSP数据安全平台] 创新的 API 数据安全平台产品。它犹如一位全能的安全卫士,集成了先进的 API 发现与识别技术,能够在复杂的网络环境中精准定位每一个 API;强大的 API 安全态势管理功能,实时监控 API 的健康状况;以及高效的 API 数据威胁检测机制,迅速抵御各类安全威胁。
如果您也希望为企业的 API 数据安全保驾护航,欢迎随时联系我们申请试用。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
