API作為應(yīng)用與數(shù)據(jù)服務(wù)的通信接口，應(yīng)用場景廣泛。有人說，未來的社會是API的社會。現(xiàn)代API往往隱藏在網(wǎng)絡(luò)應(yīng)用之中，在日常生活中接觸最為廣泛和熟知的身份認(rèn)證、電子支付、定位、語音轉(zhuǎn)換等等基礎(chǔ)數(shù)字服務(wù)，都是以API的形式來顯現(xiàn)的。API不僅服務(wù)于個人，也為許多企業(yè)的數(shù)字化轉(zhuǎn)型提供了強(qiáng)大動力。

根據(jù)postman監(jiān)測的數(shù)據(jù)顯示，API已經(jīng)在全球范圍內(nèi)被充分接受，并且呈現(xiàn)出持續(xù)增長的趨勢。2021年，通過postman平臺的API通信遍布全球234個不同國家，較同期增長56%，API已經(jīng)幾乎在全世界被開發(fā)和調(diào)用。

根據(jù)GoogleCloud調(diào)查的結(jié)果顯示，其API平臺Apigee的用戶API流量在2019年至2020年期間同比增長46%，已經(jīng)達(dá)到2.21萬億次調(diào)用。這一增長反映了各行業(yè)數(shù)字化轉(zhuǎn)型接受度的增長，越來越多的行業(yè)開展了數(shù)字化優(yōu)先的業(yè)務(wù)戰(zhàn)略。

隨著API的廣泛應(yīng)用及爆炸式增長，API已然成為攻擊者竊取數(shù)據(jù)的重點(diǎn)攻擊對象。研究部門Salt Labs發(fā)布的《2022年第一季度API安全狀況報告》顯示，過去12個月，惡意API流量增加了681%，95%的組織都經(jīng)歷了API安全事件。

2021年12月  國內(nèi)某證券公司的客戶信息數(shù)據(jù)，包括用戶姓名、手機(jī)號、開戶時間、交易情況等敏感數(shù)據(jù)，以每日1萬多條的量級在數(shù)據(jù)交易平臺被售賣。經(jīng)驗證分析，證實(shí)為內(nèi)部系統(tǒng)數(shù)據(jù)API管控疏忽導(dǎo)致。

2021年6月  黑客通過領(lǐng)英的API漏洞，獲取到領(lǐng)英7億多用戶的個人數(shù)據(jù)，并在暗網(wǎng)銷售。

2021年4月  臉書的某在線業(yè)務(wù)API遭誤用，導(dǎo)致5億用戶數(shù)據(jù)被泄露，并在暗網(wǎng)公開售賣。

API安全問題分析

• API資產(chǎn)不清，不易管理

API資產(chǎn)增長迅速，API接口無法掃描和探測、資產(chǎn)識別有難度、權(quán)限不清晰，大量API接口沒有梳理，安全責(zé)任無法劃分落實(shí)。

• 敏感數(shù)據(jù)資產(chǎn)不清，疏于防護(hù)

不了解API接口傳輸數(shù)據(jù)哪些是敏感數(shù)據(jù)，對敏感數(shù)據(jù)沒有有效防護(hù)。

• API安全檢測能力缺失

不能及時檢測對API發(fā)生的惡意攻擊、高位風(fēng)險操作、安全漏洞等，比如異常訪問風(fēng)險無法識別、API接口未做鑒權(quán)、API傳輸內(nèi)容無法檢測。

• API安全防護(hù)無有效方案

對API異常訪問行為無法監(jiān)控，API傳輸?shù)拿舾袛?shù)據(jù)訪問行為無法管控，對越權(quán)訪問、權(quán)限濫用等問題也無有效防護(hù)方案。

以上API安全問題，怎樣解決？

API安全審計，可旁路部署在企業(yè)業(yè)務(wù)系統(tǒng)之中，對企業(yè)業(yè)務(wù)系統(tǒng)API進(jìn)行梳理、風(fēng)險識別、安全防護(hù)、形成接口畫像等核心功能，實(shí)現(xiàn)對API資產(chǎn)的掌握，敏感數(shù)據(jù)的防泄漏，保護(hù)API安全運(yùn)行。

昂楷API審計核心功能

• API資產(chǎn)梳理

自定義添加或自動發(fā)現(xiàn)API資產(chǎn)，建立API清單，與已知API清單進(jìn)行比對，及時發(fā)現(xiàn)未知API和僵尸API，對API進(jìn)行分類，設(shè)置責(zé)任人。

• 敏感數(shù)據(jù)管控

自定義敏感數(shù)據(jù)或自動發(fā)現(xiàn)API傳輸?shù)拿舾袛?shù)據(jù)，對敏感數(shù)據(jù)訪問權(quán)限進(jìn)行管控，對訪問的敏感數(shù)據(jù)進(jìn)行脫敏。

• API安全檢測

及時識別API風(fēng)險，如對API的異常訪問、API接口未鑒權(quán)、API接口漏洞、API接口高危操作、OWASP TOP10風(fēng)險檢測等。

• API安全管控

對API安全檢測的風(fēng)險及時預(yù)警，并阻斷風(fēng)險操作，對敏感數(shù)據(jù)的訪問可進(jìn)行敏感數(shù)據(jù)脫敏。

• API安全審計

對API所有訪問操作都做全面審計，并存儲審計記錄，可事后追溯追責(zé)。

• API接口畫像

統(tǒng)計訪問的API接口所屬業(yè)務(wù)系統(tǒng)、訪問源、日活躍數(shù)、風(fēng)險數(shù)、請求返回數(shù)等，形成API接口畫像。

昂楷API審計應(yīng)用價值

摸清API家底，掌握API資產(chǎn)現(xiàn)狀

API安全審計，可為企業(yè)系統(tǒng)梳理API資產(chǎn)，摸清API家底，掌握API資產(chǎn)現(xiàn)狀。

識別API傳輸敏感數(shù)據(jù)，防止敏感數(shù)據(jù)泄露

可識別API傳輸敏感數(shù)據(jù)，對訪問敏感數(shù)據(jù)的操作進(jìn)行靈活處理，合法訪問者只做審計，無權(quán)訪問者進(jìn)行脫敏處理，非法訪問者進(jìn)行阻斷，防止敏感數(shù)據(jù)泄漏。

事前-事中-事后實(shí)現(xiàn)API持續(xù)的安全防護(hù)

• 事前對API接口訪問操作形成接口畫像，便于掌握企業(yè)系統(tǒng)API資產(chǎn)運(yùn)行狀態(tài)；

• 事中可識別API風(fēng)險并及時預(yù)警，對風(fēng)險操作進(jìn)行阻斷，保護(hù)API資產(chǎn)安全；

• 事后對API訪問操作進(jìn)行審計，發(fā)生安全事件可事后追溯追責(zé)；最終實(shí)現(xiàn)API持續(xù)的安全防護(hù)狀態(tài)，為數(shù)字化轉(zhuǎn)型保駕護(hù)航。