在現(xiàn)代應(yīng)用架構(gòu)中,應(yīng)用開發(fā)深度依賴于API(應(yīng)用程序接口)之間的相互調(diào)用。API的絕對(duì)數(shù)量持續(xù)增長(zhǎng),通過API傳遞的數(shù)據(jù)量也隨之飛速增長(zhǎng)。
Gartner預(yù)測(cè),API將成為數(shù)據(jù)泄露最常見的攻擊媒介之一,到2024年,由API安全問題引起的數(shù)據(jù)泄露風(fēng)險(xiǎn)將翻倍。
API數(shù)據(jù)泄露事件頻發(fā)
這一預(yù)測(cè)已成為現(xiàn)實(shí)。
2020年,GitHub開源軟件庫(kù)的API數(shù)據(jù)被非法釋放,其中包括來自用戶賬戶的5.5億條記錄。
2021年,F(xiàn)acebook的API數(shù)據(jù)安全事件導(dǎo)致數(shù)億用戶信息流出,至少6100萬(wàn)用戶的實(shí)名信息被泄露,詳細(xì)到電話、地址等。
近年來,與API相關(guān)的數(shù)據(jù)泄露事件層出不窮,其中不乏個(gè)人身份信息、銀行卡信息、健康信息等敏感數(shù)據(jù),給各行各業(yè)帶來了數(shù)據(jù)安全的重大挑戰(zhàn)。
數(shù)據(jù)安全事件的三點(diǎn)成因
為什么API成為了黑灰產(chǎn)攻擊的標(biāo)靶?
全球最大的CDN服務(wù)商Akamai監(jiān)測(cè)到,2021年API流量占全部互聯(lián)網(wǎng)流量的83%,且API訪問量以30%的速度逐年增加。DevOps及前后端分離的研發(fā)模式、云原生、微服務(wù)和企業(yè)模式都對(duì)API有著強(qiáng)烈依賴,這些技術(shù)的興起與廣泛應(yīng)用使API迅猛發(fā)展。
API資產(chǎn)龐大,幾乎無法實(shí)現(xiàn)嚴(yán)格高效的管理機(jī)制,藏匿于網(wǎng)絡(luò)中的未知API帶來了巨大的隱患。API調(diào)用過程中的數(shù)據(jù)流轉(zhuǎn)無法摸清,尤其對(duì)API間交互的數(shù)據(jù)無法感知,導(dǎo)致數(shù)據(jù)泄露事件頻頻發(fā)生。
以下三點(diǎn)攻擊方式都會(huì)造成數(shù)據(jù)泄露和篡改:
1、攻擊者利用未經(jīng)身份驗(yàn)證或授權(quán)的API訪問漏洞,獲取敏感數(shù)據(jù)。
2、攻擊者利用API請(qǐng)求中的弱點(diǎn),有目的地篡改敏感數(shù)據(jù)。
3、未經(jīng)正確處理的API請(qǐng)求可能導(dǎo)致緩沖區(qū)溢出漏洞,造成惡意代碼入侵系統(tǒng)并獲得高訪問權(quán)限。
API安全已經(jīng)成為數(shù)據(jù)安全的重要方向之一。這里的API安全是指在API交互過程中保護(hù)數(shù)據(jù)的能力,即確保數(shù)據(jù)的完整性、機(jī)密性和可用性。API攻擊的主要目標(biāo)是竊取與篡改敏感數(shù)據(jù),結(jié)合敏感數(shù)據(jù)監(jiān)控的API防護(hù)手段才是切實(shí)有效的。
“元溯”數(shù)據(jù)安全產(chǎn)品為API安全護(hù)航
API數(shù)據(jù)安全防護(hù)需要全面深入監(jiān)測(cè):API交互敏感數(shù)據(jù)與API異常訪問行為。那么首先需要發(fā)現(xiàn)并采集復(fù)雜龐大的API訪問路徑,可視化展現(xiàn)訪問統(tǒng)計(jì)和訪問趨勢(shì),生成API在網(wǎng)絡(luò)中的活躍狀態(tài)。
API資產(chǎn)發(fā)現(xiàn)
API的訪問調(diào)用伴隨著內(nèi)容數(shù)據(jù)的傳輸交互,這種交互復(fù)雜無序,且數(shù)據(jù)類型多樣,對(duì)數(shù)據(jù)資產(chǎn)管理者來說很不“友好”。“元溯”通過實(shí)時(shí)的內(nèi)容還原與掃描功能,對(duì)以API為傳輸載體的內(nèi)容數(shù)據(jù)進(jìn)行提取還原、分類分級(jí),將其標(biāo)記為可管控、可分析的數(shù)據(jù)資產(chǎn)。
API交互的文件數(shù)據(jù)
API交互的碎片化數(shù)據(jù)
“元溯”可從兩個(gè)維度分析API接口風(fēng)險(xiǎn),一是API交互數(shù)據(jù)的非法流轉(zhuǎn)風(fēng)險(xiǎn),通過數(shù)據(jù)合規(guī)等規(guī)則實(shí)時(shí)展現(xiàn)數(shù)據(jù)風(fēng)險(xiǎn);二是API調(diào)用行為的異常訪問風(fēng)險(xiǎn),通過業(yè)務(wù)訪問風(fēng)險(xiǎn)規(guī)則和WEB攻擊風(fēng)險(xiǎn)規(guī)則實(shí)時(shí)展現(xiàn)訪問風(fēng)險(xiǎn)。
API數(shù)據(jù)合規(guī)監(jiān)測(cè)
API訪問異常監(jiān)測(cè)
安博通“元溯”數(shù)據(jù)安全產(chǎn)品為用戶實(shí)現(xiàn)API資產(chǎn)自動(dòng)梳理、API畫像繪制、API調(diào)用行為監(jiān)測(cè)等功能。在API數(shù)據(jù)層面,將數(shù)據(jù)、應(yīng)用、用戶、設(shè)備進(jìn)行有機(jī)關(guān)聯(lián),可視化呈現(xiàn)復(fù)雜的API數(shù)據(jù)交互活動(dòng),在此基礎(chǔ)上進(jìn)行數(shù)據(jù)安全治理。看得見才能管得住,安博通“元溯”數(shù)據(jù)安全產(chǎn)品為數(shù)據(jù)治理筑牢防護(hù)屏障。
