數字化轉型的核心是將組織的服務、資產和能力打包成互聯網服務,從而讓資源之間形成更強的連接和互動關系,釋放原有資產的價值,提升組織的服務能力,這其中,API是非常關鍵的技術。
隨著數字化進程的發展,組織正在大量使用API。越來越多的APP被開發出來,開放架構在創新場景中的使用也越來越多。有數據統計,整個Web網站有83%的流量是通過API來訪問的。也有數據顯示,44%企業正在建造和維護100個或更多的API,API流量正在快速增長。
API在帶來巨大便利的同時也帶來了新的安全問題, 很多企業甚至自己的不知道有多少API被開放,是否受控使用和有效使用,有怎樣的安全風險和隱患,就更不得而知。API安全正受到業界和學術界的廣泛關注,開放Web應用程序安全項目(OWASP)在2019年將API列為最受關注的十大安全問題。2020年,中國人民銀行發布了《商業銀行應用程序接口安全管理規范》,三大運營商也相繼發布了API安全管理規范。
API安全造成的影響越來越大,而傳統API安全網關的部署與維護成本高,無法有效防護新興安全威脅。在此背景下,瑞數信息創新地推出了API安全管控平臺——API BotDefender,致力于解決API面臨的各種安全風險與挑戰,實現API的資產管理、攻擊防護、敏感數據管控和訪問行為管控,為業務創新保駕護航。
API安全的常見解決方案
許多企業都會參照OWASP十大項目做安全防護,但2019年OWASP發布的API安全十大項目發布的時間較短,許多企業還沒能及時作出相應防護。由于API安全涉及的范圍比較廣,一些常見的安全問題并沒有被列入其中,即使是對應API安全十大項目作出防護仍會有一些不足。
API安全市場也處于相對早期階段,從目前的API安全市場來看,主要有兩類API安全解決方案:
第一種,API安全網關方案。
API技術的興起伴隨著技術架構上的變化,由于Http協議的問題造成了很大安全隱患。為了保障安全,需要開發者在開發階段針對API加入鑒權、認證以及防篡改方面的安全工作。同時,需要API網關之類的安全防護產品作出相應配置。
2015年前后,市場上出現了以獨立的API網關為主的API安全解決方案,但在實際應用中發現,這種方案落地困難且成本較高,企業更傾向于使用應用開發者自建的API網關,專業的基于API網關的API安全方案沒有獲得預想的成功,于是API網關的產品形態還在繼續演進。
在Gartner最新的WAF魔力象限中,提到了Web應用程序和API防護服務相結合的最新趨勢——WAAP,這是一種集合了DDoS、Bot緩解,API防護和WAF的安全防護平臺。Gartner有意將WAF與API防護能力結合起來,使得許多WAF廠商開始在WAF里集成API網關。
作為安全產品形態上的一種自然而然的演化,它的主要問題在于缺少數據分析和管理的能力。
第二種,基于數據分析的API安全方案。
通過AI技術對API的訪問行為進行分析,發現API的各種異常訪問行為,提供API的管理。與API安全網關方案相比,此方案缺少的是安全威脅防控能力。
瑞數信息的應對之道——瑞數API安全管控平臺(API BotDefender)
瑞數信息于2019年就推出具有API感知、發現、監控、保護能力的API安全解決方案,今年更將此能力聚焦于API安全管控的4大核心功能,形成——瑞數API安全管控平臺(API BotDefender),該平臺包括API資產管理、攻擊防護、敏感數據管控和訪問行為管控四大模塊,為API接口提供完整的安全管控方案。作為國內最早推出API安全管控解決方案之一的廠商,它充分體現了瑞數信息對于市場的觀察和理解:
瑞數信息API安全管控平臺,主要面向新興的API安全風險,彌補了傳統方案中的不足。技術路線上,沒有選擇傳統的API網關技術,而是將WAF的安全管控能力與數據安全分析能力進行結合,是一種結合了以上兩種API安全方案優勢的全新方案。
資產管理模塊
通過引入API資產管理,實現對API資產的統一管理。API資產管理基于數據建模自動發現被保護站點的API資產,對API資產進行梳理、分析和上下線,幫助客戶實現API資產的生命周期管理。
攻擊防護模塊
綜合利用智能規則匹配及行為分析的智能威脅檢測引擎,持續監控并分析流量行為,有效檢測威脅攻 擊。智能威脅檢測引擎在用戶與應用程序交互的過程中收集數據,并利用統計模型來確定HTTP請求的異常。一旦確定異常情況,智能引擎就會使用機器學習獲得的多種威脅模型來確定異常攻擊。
敏感數據管控模塊
對API傳輸中的敏感數據進行識別,針對敏感數據可以進行脫敏或者實時攔截,防止敏感數據泄露。
訪問行為管控模塊
對API接口的訪問行為進行分析,通過多維度建立API訪問基線、API威脅建模,發現惡意訪問行為,避免惡意 訪問造成的業務損失。
主要應用場景
API資產自動發現
API安全管控平臺通過對訪問流量進行分析,自動發現流量中的API接口,實現API接口自動識別、梳理和分組。
API攻擊防護
識別各種針對API的安全攻擊,對安全攻擊進行實時防護;對API請求參數進行合規管控,對不符合規范的請求參數實時管控。
API流量監控與保護
監控API的訪問行為,針對高頻情況等進行防護,防止高頻情況等造成的API性能瓶頸。
非法API調用防護
通過從API網關上獲取API認證和鑒權數據,防止未授權的API調用,保障API接口只能被合法用 戶訪問。
API濫用防護
針對API接口,防止其被濫用并用于謀取利益。
API資產生命周期管理
對發現的API接口進行生命周期管理,基于關鍵字搜索功能快速分組,并且對分組后的 API資產指定責任人,實現API資產的導入和導出、資產上下線。
API敏感數據管控
對API傳輸中的敏感數據進行識別,針對敏感數據可以進行模糊化或者實時攔截,防止敏感數據泄露。
未知API發現
通過從API網關上獲取API注冊數據,與API資產進行對比,發現未知API接口,防止未知API 訪問造成的業務訪問壓力,導致業務不可用。
API訪問行為管控
監控API接口的訪問和使用狀況,包括成功率、性能等,通過建立多維度訪問基線和API威脅建模,監控基線偏離狀況,高效識別異常訪問行為,避免惡意訪問造成的業務損失。
核心優勢
瑞數API安全管控平臺(API BotDefender),能夠實現從API接入客戶端到API服務器端的全程式API安全威脅防護。
API全自動發現
瑞數API安全管控平臺(API BotDefender)的“Discover發現模塊”,可以快速自動地發現API,并且針對發現的API給出明確的認定;同時,顯示出清晰的API列表,對API接口的訪問情況一目了然。
構建API畫像
瑞數API安全管控平臺 (API BotDefender),采用全程式安全威脅防護技術,從而利于精準地構建API畫像;通過API畫像,可以快速預覽各個業務的API情況,包括使用情況、異常情況、訪問來源等。
API全渠道感知
提供各種SDK,方便與各類API來源應用進行集成,可以對來源環境和用戶行為進行感知。
動態響應防護
可根據行為分析的結果或指定條件,進行動態響應防護,提升通過逆向探測或機器學習分析等攻擊手段的難度。
此外,瑞數API安全管控平臺的部署方式非常靈活,支持軟件、硬件和云的方式進行部署,可以大大降低部署、管理和維護成本。同時,占用資源少,不影響服務器的正常運行,可以實現應用無感知部署。
目前,API安全問題在金融、政府、運營商三大行業獲得了廣泛的關注,瑞數API安全管控平臺也憑借其突出的技術實力和防護能力,在該三大行業成功應用,全面助力用戶解決API安全層面的各類問題,為業務的創新和穩定進行保駕護航!
京公網安備 11010502049343號