有這么一個真實的案例,在某次實戰攻防演練中,防守方層層布防,搭建了十分健全的防御體系,本以為萬無一失,結果靶標悄無聲息被拿下。事后溯源中才發現,一個存在未授權訪問的歷史API,成為了突破口,敏感信息被紅隊獲取,而防守方在備戰資產梳理時,并未發現這處疏漏。
一個疏忽的API放倒一眾“英雄”,不僅僅發生在實戰演練中。
在數字化進程的持續加速下,API承載著應用各組件間數據的流動,成為數據交互最重要的傳輸方式之一,但隨著API的多樣性、復雜性在不斷增加,API資產理不清、風險不可見、流轉不透明,暴露了比以往更多的敏感數據,成為黑客竊取敏感數據的利刃:
??不知道應用系統的API接口有哪些?哪些API是僵尸API、活躍API?分別傳輸了哪些敏感數據資產?哪些API接口需要重點管理?--API資產理不清!
??API接口是否存在濫用或攻擊行為,如接口的過度調用、非法共享等問題?針對非法身份的調用是否經過數據脫敏等去隱私化處理以防止批量泄漏?數據泄露是否能溯源?是否存在接口二次封裝的風險?針對二次封裝的現象如何進行管控?--API調用時的數據安全風險不可見!
??數據流轉過程是否得到有效監測和追蹤?--數據流轉鏈路不透明!
聚焦于API訪問通道以及其中的數據流動安全,美創API安全監測與訪問控制系統(API-SMAC)將API資產治理、身份治理、流量管控、訪問鑒權、機器學習等多種核心技術融合,幫助用戶梳理應用中龐雜的海量接口,針對各類API的調用行為,繪制接口畫像和接口訪問軌跡,基于統一的敏感數據標簽,監測敏感數據流動風險,識別接口調用的異常用戶行為,對風險行為的精準攔截,為應用系統的業務數據合規正常使用和流轉提供「可知、可視、可管、可溯」的安全保障。
“理不清、不可見、不透明”?三個場景看API-SMAC關鍵能力
API資產及敏感資產全面治理
在大型組織或跨組織的環境中,如運營商等行業,API的數量和復雜性非常高,管理和監控大量的API接口、不同團隊開發的API、版本迭代過程中的歷史API以及與外部合作伙伴共享的API,變得異常復雜和困難。
API-SMAC結合機器學習引擎進行智能流量分析,可持續自動化的探測和發現業務應用及海量的API資產,幫助用戶清楚地感知全業務域有多少API、是否安全,實現API資產全景心中有數。
此外,API-SMAC內嵌敏感數據識別智能算法,快速識別接口和應用中流轉的敏感數據,對數據進行分類分級,為更精細化的安全防護提供依據。
基于異常操作行為的安全管控
在組織內部,往往需要通過API進行不同部門、不同系統之間的集成和通信,以實現數據共享、業務流程協作等。但在內部API之間傳輸的數據可能包含敏感信息,無論是由于疏忽、人為錯誤、主觀惡意還是其他任何原因,若對API的訪問控制不當,就意味著數據外泄的風險和價值損失。
API-SMAC基于訪問流量信息,實時監測、識別、梳理各類訪問身份信息,結合機器學習等技術深度分析訪問上下文、訪問行為等因素,建立來訪身份畫像及訪問基線,系統基于分類分級結果,精準識別敏感資產,結合脫敏、訪問控制、水印溯源等能力,可對不同API接口從請求頻次、獲取敏感數據次數、敏感數據量、訪問時段等實現多維細粒度安全管控防護。
數據流轉全鏈路風險監測追蹤
組織或服務提供商向外部開發者開放API接口,以構建新的應用程序或擴展現有應用程序的功能,高度開放面臨著數據流動失控的風險。此外,當組織通過開放特定API與外部合作伙伴、客戶等進行數據交互、系統集成和業務合作,同時存在未授權應用調用API接口或接口二次封裝的違規行為。
API-SMAC以數據安全為視角,全鏈路監測API接口中的數據流轉情況,實時監控API接口的各類風險及安全態勢。
根據OWAS API SercurtiyTOP 10風險,API-SMAC基于多種檢測分析引擎,內置資產脆弱性、資產暴露面、越權訪問、異常機器行為、安全合規等風險策略,對API數據流轉實時監測與追蹤,確保數據流轉鏈路全程可視。
同時,API-SMAC可針對API接口中流轉的數據加注水印標識,當監測到加注有水印標識的數據被非授信應用和接口訪問時,可進行告警并溯源責任到相關組織單位。支持API訪問全過程記錄與分析,支持HTTPS加密流量審計,快速定位風險,精準定位到人,支持大流量高并發審計保障業務連續性。
大數據局API數據安全難點API-SMAC有效解決實踐
在大力推動數據共享開放中,某大數據局作為統籌數據匯聚融合和共享開放的中心環節,對外開放大量的API傳輸數據,這一過程中面臨:
如何監控整體數據資產流轉方式和敏感數據資產流轉態勢?
如何獲取數據使用方和數據提供方的身份信息和環境因素,對訪問行為進行有效管理?
如何對數據交換過程中數據傳輸進行有效安全防護?
數據開放接口后,如何防范接口二次非法封裝?
數據流轉分發后當出現數據泄漏等安全風險時,如何進行快速溯源?
?解決方案:
在大數據局側部署API安全監測與訪問控制系統(API-SMAC),通過在公共平臺及授權應用部署探針抓取轉發API流量,從而對API資產進行發現及梳理,實現數據流轉過程中的安全監測和訪問控制。
同時,API安全監測與訪問控制系統創新無痕水印技術,實現數據泄露溯源功能,能夠溯源到人,并提供原始日志作為證據。
大數據局側
API管控能力:基于接口申請信息進行安全合規檢測及安全訪問管控,如當API接口使用方應用名稱申請提交內容不符時,API安全檢測系統將進行處置響應(告警或告警并阻斷)。
API水印能力:委辦局向大數據局公共平臺發起調用API接口請求,探針進行流量抓取并轉發至API安全產品,API作為代理向公共平臺發送模擬請求,根據經審批的API訪問權限信息向數據庫獲取相應數據,數據經API安全產品插入含申請方身份屬性信息的無痕水印,便于數據水印溯源。
委辦局側
當委辦局應用經審批擁有API調用權限后,可以獲取帶有無痕水印的數據內容。當已授權應用想要將數據內容傳輸給未授權應用時,此動作會被API安全監測與訪問控制系統抓取到,此時API安全監測與訪問控制系統會及時進行處置響應,進行告警或告警并阻斷,實現對API訪問行為的管控。
