星阑科技:API安全风险与解决方案 ——“创新案例 北京实践”系列分享第十二期成功举办
随着企业数字化转型的加深,大量企业能力以接口或SaaS化的API服务方式与第三方厂商集成,大量企业数据通过APl进行传输,API在给企业数字化转型带来便利的同时,安全问题也成为了焦点。
那么,当前API面临哪些安全威胁?有哪些新技术能应对这些API威胁?这些新技术在哪些行业得到落地应用呢?
针对这些问题,8月18日,由北京软件和信息服务业协会主办的“创新案例 北京实践”系列分享第十二期邀请到星阑科技资深产品经理杨旭鹏进行了分享。杨旭鹏以《API安全风险解析、技术创新与实践》为主题,分析了当前API安全背景,介绍了星阑科技“萤火”智能API安全分析平台,并分享了星阑科技API安全产品的实践案例。
一、API安全背景介绍
杨旭鹏表示,当前随着企业数字化转型深入,银行个人业务、企业业务、第三方数据交换存在大量API通信。相关数据显示,2021年全球API数量增长39%,API调用量增长56%。
近年来,国家网信办、工信部、公安部等多部门对数据安全、网络信息安全等涉及到国家安全的领域密集出台相关监管措施,国家也先后出台了《数据安全法》《个人隐私保护法》《关键信息基础设施安全保护条例》等法律法规,从上至下编织起“数据安全”和“网络安全”两张大网。在此形式下,网络安全和数据安全已上升到一个全新层面,企业在数字化转型过程中对数据传输安全监管要求也逐步严格。
从攻击面上讲,API面临的威胁非常多,包括水平越权、敏感数据暴露、代码漏洞、API基础设施漏洞、错误配置、业务逻辑缺陷等。针对企业面临的API威胁,应采用API全生命周期安全防护体系来应对,即通过对API通信行为的采集、监控、分析等手段,通过资产梳理、风险监测、敏感数据分级分类的方式,快速搭建企业的API防护系统,最终围绕API的设计、开发、测试、运行、下线等不同阶段建立API全生命周期安全管理方案。
二、星阑科技“萤火”智能API安全分析平台
为辅助企业落实API数据安全监管、API攻击防护效果,星阑科技研发出“萤火”API安全平台,为企业提供API资产梳理、API威胁检测、API数据泄露溯源能力,缓解企业的API风险。
“萤火”API安全平台基于实时大数据中台对流量进行数据建模,可以识别出API通信协议并对同类的API进行自动聚合分析,生成API的行为画像并对异常行为如API爬虫、API越权访问、API敏感数据泄露进行告警。此外,基于安全攻防实验室的长期漏洞积累,团队持续跟踪行业内的漏洞情报并在第一时间进行分析研判,目前系统内部集成了Web API漏洞、中间件API漏洞与API协议攻击方式上百种,全面覆盖API后端应用漏洞攻击风险。该产品充分适配传统IT架构及云原生容器化、微服务架构,全面覆盖企业API安全风险。
三、星阑科技API安全解决方案实践案例
接下来,杨旭鹏对星阑科技API安全解决方案的实践案例进行了介绍。
某互联网公司云平台有多个对外商业化SaaS业务,API访问量极大,内网网络拓扑复杂。公司自建了API网关,公司外部、内部定期组织攻防演练,API成为主要攻击面。在此背景下,公司需要通过网关层持续发现未纳入安全管控的影子API。同时,建立持续化API攻击监测及溯源能力。
星阑科技通过软件部署模式,针对两种API数据采集点位,以自建API网关进行导流,分别进行七层日志实时分析、小时级pcap分析。部署完成后,由客户红队安全工程师模拟多种攻击方式,对比同类产品检出率最高。
通过星阑科技的安全部署,该互联网公司在多次攻防演练中,成功识别到数十次API安全事件。发现数百个未纳入安全管控的API,从API视角加强了整体业务安全管控能力。
在访谈互动环节,主持人与杨旭鹏就API安全的相关问题进行了热烈互动。
针对全球API威胁的现状,杨旭鹏表示,API网络安全属于一个新兴的赛道,随着企业信息化转型加速,API调用量呈指数级增长,API的安全问题爆发式凸显。一方面由于API是公开的,目标多,加上API传输大量的、重要的、敏感数据及一些认证信息,一旦被攻破,会直达核心系统。此外,API攻击防范非常难,API的一些漏洞是传统的安全检测设备无法覆盖的,因此黑客们非常青睐API攻击。目前全球API安全产业的市值大约3000-3500亿,国内预计600-700亿的量级。
提到API安全产品与传统安全产品的差异,杨旭鹏认为,一是协议上,传统安全产品只支持IT通信协议(如HTTP、FTP),API安全产品支持更多的协议,能更细粒度的识别和解码;二是能力覆盖上,传统的安全检测设备更多关注入侵的问题,大多基于单包检测,而API安全产品基于流量分析,能把流量中的API进行聚合,从而识别出API资产;三是检测深度上,像API漏洞协议、API异常行为等是传统安全检测设备的盲点,而API安全产品是基于流量的长效监测,能针对API行为进行分析,从而识别出恶意访问与正常流量;四是IT架构的适配性上,API安全也是一个生态,会涉及与API网关、API管理平台、API测试工具等进行适配。
关于星阑科技API安全产品的优势与价值点,杨旭鹏表示,优势在于星阑科技非常理解用户的诉求,产品功能上原创度非常高,对于漏洞能智能化覆盖与更新,兼容主流API协议且部署灵活。从价值点来看,能快速帮助企业从0到1搭建其安全防护能力,产品功能及准确度也受到用户的认可,同时星阑科技参与了由工业和信息化部网络安全产业发展中心牵头组织的《数据传输安全白皮书》的编写,推动了政策在行业内的落地。
本次分享活动,让与会人员对API威胁现状有了更深刻的了解,对星阑科技的API安全产品有了更清晰的认识。北京软协希望相关厂商和应用企业能通过北京软协平台有更多的交流互动机会,共同推动API安全产品的发展,保护各行业企业的API安全。