API作為應(yīng)用與數(shù)據(jù)服務(wù)的通信接口，應(yīng)用場(chǎng)景廣泛。有人說，未來的社會(huì)是API的社會(huì)。現(xiàn)代API往往隱藏在網(wǎng)絡(luò)應(yīng)用之中，在日常生活中接觸最為廣泛和熟知的身份認(rèn)證、電子支付、定位、語音轉(zhuǎn)換等等基礎(chǔ)數(shù)字服務(wù)，都是以API的形式來顯現(xiàn)的。API不僅服務(wù)于個(gè)人，也為許多企業(yè)的數(shù)字化轉(zhuǎn)型提供了強(qiáng)大動(dòng)力。

根據(jù)postman監(jiān)測(cè)的數(shù)據(jù)顯示，API已經(jīng)在全球范圍內(nèi)被充分接受，并且呈現(xiàn)出持續(xù)增長的趨勢(shì)。2021年，通過postman平臺(tái)的API通信遍布全球234個(gè)不同國家，較同期增長56%，API已經(jīng)幾乎在全世界被開發(fā)和調(diào)用。

根據(jù)GoogleCloud調(diào)查的結(jié)果顯示，其API平臺(tái)Apigee的用戶API流量在2019年至2020年期間同比增長46%，已經(jīng)達(dá)到2.21萬億次調(diào)用。這一增長反映了各行業(yè)數(shù)字化轉(zhuǎn)型接受度的增長，越來越多的行業(yè)開展了數(shù)字化優(yōu)先的業(yè)務(wù)戰(zhàn)略。

隨著API的廣泛應(yīng)用及爆炸式增長，API已然成為攻擊者竊取數(shù)據(jù)的重點(diǎn)攻擊對(duì)象。研究部門Salt Labs發(fā)布的《2022年第一季度API安全狀況報(bào)告》顯示，過去12個(gè)月，惡意API流量增加了681%，95%的組織都經(jīng)歷了API安全事件。

2021年12月  國內(nèi)某證券公司的客戶信息數(shù)據(jù)，包括用戶姓名、手機(jī)號(hào)、開戶時(shí)間、交易情況等敏感數(shù)據(jù)，以每日1萬多條的量級(jí)在數(shù)據(jù)交易平臺(tái)被售賣。經(jīng)驗(yàn)證分析，證實(shí)為內(nèi)部系統(tǒng)數(shù)據(jù)API管控疏忽導(dǎo)致。

2021年6月  黑客通過領(lǐng)英的API漏洞，獲取到領(lǐng)英7億多用戶的個(gè)人數(shù)據(jù)，并在暗網(wǎng)銷售。

2021年4月  臉書的某在線業(yè)務(wù)API遭誤用，導(dǎo)致5億用戶數(shù)據(jù)被泄露，并在暗網(wǎng)公開售賣。

API安全問題分析

• API資產(chǎn)不清，不易管理

API資產(chǎn)增長迅速，API接口無法掃描和探測(cè)、資產(chǎn)識(shí)別有難度、權(quán)限不清晰，大量API接口沒有梳理，安全責(zé)任無法劃分落實(shí)。

• 敏感數(shù)據(jù)資產(chǎn)不清，疏于防護(hù)

不了解API接口傳輸數(shù)據(jù)哪些是敏感數(shù)據(jù)，對(duì)敏感數(shù)據(jù)沒有有效防護(hù)。

• API安全檢測(cè)能力缺失

不能及時(shí)檢測(cè)對(duì)API發(fā)生的惡意攻擊、高位風(fēng)險(xiǎn)操作、安全漏洞等，比如異常訪問風(fēng)險(xiǎn)無法識(shí)別、API接口未做鑒權(quán)、API傳輸內(nèi)容無法檢測(cè)。

• API安全防護(hù)無有效方案

對(duì)API異常訪問行為無法監(jiān)控，API傳輸?shù)拿舾袛?shù)據(jù)訪問行為無法管控，對(duì)越權(quán)訪問、權(quán)限濫用等問題也無有效防護(hù)方案。

以上API安全問題，怎樣解決？

API安全審計(jì)，可旁路部署在企業(yè)業(yè)務(wù)系統(tǒng)之中，對(duì)企業(yè)業(yè)務(wù)系統(tǒng)API進(jìn)行梳理、風(fēng)險(xiǎn)識(shí)別、安全防護(hù)、形成接口畫像等核心功能，實(shí)現(xiàn)對(duì)API資產(chǎn)的掌握，敏感數(shù)據(jù)的防泄漏，保護(hù)API安全運(yùn)行。

昂楷API審計(jì)核心功能

• API資產(chǎn)梳理

自定義添加或自動(dòng)發(fā)現(xiàn)API資產(chǎn)，建立API清單，與已知API清單進(jìn)行比對(duì)，及時(shí)發(fā)現(xiàn)未知API和僵尸API，對(duì)API進(jìn)行分類，設(shè)置責(zé)任人。

• 敏感數(shù)據(jù)管控

自定義敏感數(shù)據(jù)或自動(dòng)發(fā)現(xiàn)API傳輸?shù)拿舾袛?shù)據(jù)，對(duì)敏感數(shù)據(jù)訪問權(quán)限進(jìn)行管控，對(duì)訪問的敏感數(shù)據(jù)進(jìn)行脫敏。

• API安全檢測(cè)

及時(shí)識(shí)別API風(fēng)險(xiǎn)，如對(duì)API的異常訪問、API接口未鑒權(quán)、API接口漏洞、API接口高危操作、OWASP TOP10風(fēng)險(xiǎn)檢測(cè)等。

• API安全管控

對(duì)API安全檢測(cè)的風(fēng)險(xiǎn)及時(shí)預(yù)警，并阻斷風(fēng)險(xiǎn)操作，對(duì)敏感數(shù)據(jù)的訪問可進(jìn)行敏感數(shù)據(jù)脫敏。

• API安全審計(jì)

對(duì)API所有訪問操作都做全面審計(jì)，并存儲(chǔ)審計(jì)記錄，可事后追溯追責(zé)。

• API接口畫像

統(tǒng)計(jì)訪問的API接口所屬業(yè)務(wù)系統(tǒng)、訪問源、日活躍數(shù)、風(fēng)險(xiǎn)數(shù)、請(qǐng)求返回?cái)?shù)等，形成API接口畫像。

昂楷API審計(jì)應(yīng)用價(jià)值

摸清API家底，掌握API資產(chǎn)現(xiàn)狀

API安全審計(jì)，可為企業(yè)系統(tǒng)梳理API資產(chǎn)，摸清API家底，掌握API資產(chǎn)現(xiàn)狀。

識(shí)別API傳輸敏感數(shù)據(jù)，防止敏感數(shù)據(jù)泄露

可識(shí)別API傳輸敏感數(shù)據(jù)，對(duì)訪問敏感數(shù)據(jù)的操作進(jìn)行靈活處理，合法訪問者只做審計(jì)，無權(quán)訪問者進(jìn)行脫敏處理，非法訪問者進(jìn)行阻斷，防止敏感數(shù)據(jù)泄漏。

事前-事中-事后實(shí)現(xiàn)API持續(xù)的安全防護(hù)

• 事前對(duì)API接口訪問操作形成接口畫像，便于掌握企業(yè)系統(tǒng)API資產(chǎn)運(yùn)行狀態(tài)；

• 事中可識(shí)別API風(fēng)險(xiǎn)并及時(shí)預(yù)警，對(duì)風(fēng)險(xiǎn)操作進(jìn)行阻斷，保護(hù)API資產(chǎn)安全；

• 事后對(duì)API訪問操作進(jìn)行審計(jì)，發(fā)生安全事件可事后追溯追責(zé)；最終實(shí)現(xiàn)API持續(xù)的安全防護(hù)狀態(tài)，為數(shù)字化轉(zhuǎn)型保駕護(hù)航。