隨著移動APP、微服務架構、云、物聯(lián)網的興起,企業(yè)API數(shù)量呈爆發(fā)式增長。作為數(shù)字世界的連接者,API為企業(yè)搭建起了一條內外相連、四通八達的“數(shù)據公路”。
一方面,API確實讓企業(yè)更低成本地打通內外部數(shù)據,并利用云市場的服務,敏捷響應客戶需求,讓用戶操作越來越高效、便捷、豐富......
另一方面,API的指數(shù)級增長,讓運維管理越來越難,安全暴露面越來越大、風險越來越高。
企業(yè)到底有多少API?這些API的狀況如何?是否存在僵尸API、影子API、無效API?是否存在API濫用?這些API真的安全嗎?有沒有敏感數(shù)據在這條“數(shù)據公路”上瘋狂“裸奔”......
1.
API安全危機到了什么程度?
實際數(shù)據調查再次證明上述擔憂是有必要的。
一項國際權威調查表明,2021年API攻擊流量在一年中增長了 681%,94%的所有失竊數(shù)據涉及API暴露安全,95%的企業(yè)都經歷了API安全事件。
Gartner研究調查則顯示,2022年超過90%web應用程序遭到的攻擊來自API,并預測API濫用將成為導致企業(yè)Web應用程序數(shù)據泄露的最常見攻擊媒介。到2024年,API濫用和相關數(shù)據泄露將幾乎翻倍。
2023年,最新發(fā)布的企業(yè)數(shù)據調查顯示,由API引發(fā)的網絡攻擊面正在持續(xù)增加,60%的受訪企業(yè)發(fā)生過與API相關的安全事件,其中74%的組織存在3次或以上的安全事件。
顯然,API搭建的這條“數(shù)據公路”并不安全。企業(yè)要想在這條“數(shù)據公路”上持續(xù)安全平穩(wěn)“行駛”,首要前提是解決API安全問題!
2.
如何自動化全面摸清API資產?
眾所周知,一個應用會涉及多個不同類型API,有的復雜應用接口甚至多達數(shù)萬個。企業(yè)為驅動業(yè)務開放共享、創(chuàng)新業(yè)務服務增長,還在不停增加API的使用。
正如我們對企業(yè)API數(shù)量描述的含糊其辭,其實正是大多數(shù)企業(yè)API的管理現(xiàn)狀——企業(yè)不清楚自己擁有多少API,也不知道API處于什么狀態(tài)。
這時候,就需要采用類似派拉軟件API安全監(jiān)測平臺這樣的自動化、智能化工具。
平臺通過旁路部署完成流量收集、解析、監(jiān)測,幫助企業(yè)自動發(fā)現(xiàn)API資產,并根據企業(yè)在平臺上定義的類別和規(guī)則(如功能、應用、數(shù)據敏感度等),對API進行業(yè)務分類,形成分類明確、路徑清晰、資產全清的可視化API資產樹形圖。
在流量分析中,還能發(fā)現(xiàn)影子/僵尸 API(即未知的 API)、弱API、無效API等,監(jiān)測每一個API安全情況,形成業(yè)務API、應用級API、全局API三大維度的API畫像,幫助企業(yè)多維度、多視角地摸清、梳理出企業(yè)API資產與實時狀況。
3.
如何有效應對API安全攻擊?
我們都知道,API擴大企業(yè)安全攻擊面的一個重要原因是,API 本身是暴露在網絡上的。這時候,如果在API與外部網絡之間加一個安全隔離——API安全網關,就可以很好地解決這個問題。
派拉軟件通過API安全網關實現(xiàn)所有的流量代理,可以對所有流量進行加密傳輸,這樣可以避免API直接暴露給第三方或者移動端應用,減少外部對API的暴露面和受到直接攻擊的風險。
此外,API安全網關有很強的安全防護能力。例如,當流量經過API安全網關時,網關通過速率限制來防止DoS攻擊;隨后啟動身份驗證,確保正確的身份才能通過;通過之后,并不意味著就可以訪問后端所有數(shù)據,而是經過訪問控制判斷是否有權限訪問以及有哪些權限;整個過程,后臺有審計日志記錄所有請求與結果。
值得一提的是,派拉軟件API安全網關還可以與API安全監(jiān)測平臺進行協(xié)同,對企業(yè)數(shù)據進行安全防護,安全監(jiān)測軟件嵌入50+的AI漏洞檢測模型,30+的弱點分析基線,對異常行為、威脅行為、敏感字符進行安全檢測、形成安全檢測報告;
結合接口不同安全等級,配置相應API安全策略,并下發(fā)給API安全網關進行防護,并對安全風險及時告警,支持短信、郵件、企業(yè)微信等告警信息通知。
4.
如何探測并防護API敏感數(shù)據?
當前,利用API竊取敏感數(shù)據并進行業(yè)務欺詐已經成為黑客最常用的攻擊方式之一。若敏感數(shù)據不經任何脫敏、加密等操作,無異于在API構建的這條“數(shù)字公路”上“裸奔”。
派拉軟件API安全網關通過對敏感數(shù)據加解密、加驗簽、數(shù)據過濾、數(shù)據脫敏、數(shù)據驗證等數(shù)據安全措施,加強敏感數(shù)據的安全防護。
結合派拉軟件API安全監(jiān)測平臺,通過敏感數(shù)據識別引擎實時分析、判別請求數(shù)據與響應數(shù)據中流轉的敏感參數(shù)信息,智能識別身份證、手機號、銀行卡號等敏感數(shù)據,分析并統(tǒng)計全盤API敏感數(shù)據態(tài)勢,實現(xiàn)對敏感數(shù)據傳輸、共享、使用等全過程安全監(jiān)控。
有了以上三大安全保障,企業(yè)內部這條由API架起的內外四通八達的“數(shù)據公路”才算打好了安全基礎底座,企業(yè)數(shù)據、業(yè)務才能安全、有序、高效地在這條“數(shù)據公路”上快速平穩(wěn)“行駛”!