譚曉生專訪永安在線: API安全防護將不再是新詞
當人們的生活越來越數字化,數據不再是以數據庫和文件共享的方式存在,而是通過API來進行互動;
當企業云上的通訊和業務都要靠API來實現,
你會發現留給API安全防護產品的發展時間其實并沒有那么多了。
永安在線的鬼谷實驗室在2022年Q3的《API安全研究報告》中顯示,全網Q3每月被攻擊的API數量超過15萬,涉及游戲、金融、政務、電商、數字藏品等多個行業。
永安在線認為,API已經成為組織的基礎資產之一,守護API的安全、防止API攻擊已經被客戶明確提出需求,且符合數字化的發展規律。近日,就API安全的話題,賽博英杰創始人譚曉生和永安在線COO邵付東,進行了一次深度交流。
譚曉生:永安在線本身是做威脅情報起家的,現在進入到API安全領域是出于什么樣的考慮?是在威脅情報這個領域發展遇到瓶頸了?還是看到了新的機會?
邵付東:永安在線選擇做API安全的過程還是蠻有故事的,總結起來主要有三個方面的考慮:
首先是基于客戶提出的需求。一些使用我們情報服務的客戶,特別是互聯網和金融行業的客戶反饋:攻擊者為了獲利,對不同的API來進行數據爬取或者業務攻擊,如賬號撞庫、掃號、營銷作弊等。API數量越多,攻擊入口就越多,攻擊面也越大。 用戶為了提升攻防對抗時發現和響應的效率,主動提出期望我們可以提供一款產品:基于情報來及時發現有哪些API被攻擊、攻擊者的攻擊手法等,幫助客戶做風控監測,從而能夠及時地阻斷攻擊。
第二方面,我們自己也認為API是未來的趨勢。客戶提出需求之后,我們也要看這個東西做起來是不是有價值。我們看到數字化和云原生是技術發展的趨勢,數據從文件、數據庫的共享變為了通過API來進行互動;云原生、微服務架構的發展讓業務邏輯更加原子化,企業為了架構解藕和彈性擴容,服務之間通過API來完成通訊,企業的業務大量通過API來完成,API的數量會爆發式增長。API在新時代已經成為企業的一個新的基礎設施,關于API安全的需求一定會越來越強烈。
第三方面原因是永安在線在API風險檢測上有比較大的優勢。我們的情報包含攻擊者進行攻擊需要使用到的IP、賬號、工具、API訪問序列、獲利交易的細節等,在這方面長期的技術積累、數據積累、經驗積累對于做好API風險檢測是有很大的優勢。
綜合以上三點,客戶有市場需求、技術發展趨勢、再結合我們自身情報的優勢,我們才開始考慮并決定做API安全這個事情。
譚曉生:您剛才正好提到了API安全的三個典型的應用場景,第一個是用來解決云原生時代的安全問題;第二是解決數據安全問題;第三就是通過API滲透系統的典型攻防場景,聽起來永安在線這三個主要場景都覆蓋了,那么在這中間你們有重點的區分嗎?
邵付東:我們產品的服務場景并不是我們自己來選的,而是基于我們客戶需求的驅動。
客戶三個場景都有需求,這方面我們并不想顧此失彼。當然不同類型的客戶的需求和關注優先級是不一樣的,比如金融和互聯網的側重點就很不一樣。
從目前接觸的客戶來看,對API流動的數據安全場景是一個最為普遍的需求,主要還是因為合規和法律的驅動;
其次攻防場景的需求也比較多,特別是每年攻防演練的過程中與漏洞相關的場景,如文件上傳漏洞、OA系統任意用戶登錄等;
再次是云原生的需求,很多互聯網客戶基本都上云了,圍繞著云原生研發的各個環,客戶希望我們能夠做API上的一些安全治理。所以說三個場景其實我們的產品都會涉及,我們的客戶都有相對應的需求,但從客戶需求的優先級來說,是有一些區別的。
譚曉生:以你一個公司的實力,足以把三個地方都做得很深嗎? 如果永安在線三個場景都在做,之前的威脅情報業務也在做,那么在API解決數據安全問題的能力上,你們能夠PK過專門做API數據安全的友商嗎?
邵付東:這是個好問題。數據安全概念還是很大的,從數據的分級分類到靜態環境保護,整個鏈路的安全是很長的。一些專門做數據安全的企業他們的視角是圍繞數據分級分類的流動拉了一條線,而我們的視角是把API當做一個資產來關注,從API的生產到測試上線,到整個業務運營的過程,再到下線,整個環節基于API的視角會有更全面性的安全考慮。
所以大家的切入點和視角是不一樣的,圍繞數據庫做數據分級分類是一個較為靜態的視角,而圍繞API資產上流動數據的安全性來看是一個動態攻防的視角。從客戶的角度來說,數據分級分類的工作主要是數據合規和數據治理部門來負責的,但API安全、流動數據的安全性更多的是網絡安全部門來負責。
譚曉生:Ok那么能不能給大家介紹一下永安在線的API安全管控方案的具體情況?
邵付東:我們的產品也有個發展的故事。
大概在2020年的時候,我們就推出一款通過串行的方式把API入口管理好的產品,但在跟客戶溝通的過程中,很多客戶反饋,“你要做一個串行的節點,會不會對我們業務的負面影響太大了?萬一你出了事兒,我們整個業務都會有影響啊。”
當時就發現這樣的方案交付成本會很高,于是后來我們轉到從旁路流量來進行分析的方案,這樣客戶接受度更高。
經過實踐驗證,目前永安在線基于情報技術的API安全管控平臺通過旁路流量分析的方式,來幫助客戶解決三大問題:
第一是資產梳理問題。自動化梳理API及API上流動的敏感數據,對API和敏感數據進行分級分類。
此外,我們還會對API關聯的賬號資產進行梳理,從賬號的使用時間、數據獲取行為、訪問行為、登錄行為等多個維度進行分析,幫助客戶應對賬號共用、賬號借用、賬號盜用、內部人員數據訪問等各種類型的賬號風險。這也是我們產品的優勢之一。
第二是API缺陷評估問題。在資產可見的基礎上,我們還會對API的一些脆弱性,比如未授權訪問、越權訪問、脫敏不規范、弱密碼、明文傳輸等風險點進行持續檢測。我們的代理蜜罐情報會持續跟蹤攻擊者如何利用新型API漏洞來進行攻擊,通過對新型攻擊面和攻擊特征的分析,持續迭代優化我們的API漏洞檢測引擎,確保我們能及時發現API各種可能的風險點。
第三是API攻擊感知問題。在以上防范的基礎上,最后基于我們的情報,如攻擊者使用的IP、賬號、工具等資源來檢測數據爬取、賬號撞庫、營銷作弊、賬號盜用、內鬼盜取數據、賬號違規共享等風險事件。
在性能指標上,因為是對旁路流量進行分析,同時是對網絡的七層的API的流量進行還原和分析,會考慮兩個方面的核心能力:一方面是旁路流量的帶寬,一個方面是API請求的每秒并發量,目前我們單臺頂配的服務器能支持到40G的帶寬,API的每秒并發量在1.5W~2W之間。
同時,針對存在混合云、多數據中心等業務場景,有較大的流量以及較高的API每秒并發量的客戶,我們可提供分布式部署方案,由于各分析節點采用基于情報的風險判定引擎,可直接根據情報信息完成風險判定,不會因流量分布在多個節點而導致風險漏判或誤判。
譚曉生:能不能介紹一下你們現在的典型客戶,他們是在怎么樣用你們的產品的?用的效果怎么樣?
邵付東:我們目前互聯網和金融類的客戶是比較多的。我可以用一個金融行業客戶的例子來介紹我們產品帶給客戶的價值。
我們數據泄漏情報的監測會對TG群、暗網等渠道上的黑產私域數據交易情報進行監測,我們發現一家客戶每天都有大量的含有四要素的用戶敏感數據在被黑產進行交易,經過我們人工對四要素進行驗證,發現確實是客戶的真實數據。
我們把情報信息同步給到客戶,客戶才了解到近期自己的用戶投訴上升是因為有數據泄漏了,但客戶的整體安全措施做的比較到位的,所以他們想不到數據的泄漏點。于是部署了我們的API安全管控平臺的產品來進行分析,發現攻擊者其實是使用十幾萬的動態IP資源,通過一個未授權的用戶詳情API來低頻、慢速地爬取數據,因為爬取流量和正常的訪問是一樣的,所以攻擊沒有被WAF檢測到!同時攻擊者每個IP一天只是訪問這個用戶詳情API十幾次,現有的基于IP的規則策略也沒辦法檢測攻擊。
后續我們同客戶一起分析,發現這個API是分公司的團隊開發的,沒有在總部安全團隊的視野范圍內,也就沒有經過安全測試就上線了,導致數據泄漏的發生。經過我們永安在線的平臺對流量的分析,發現了客戶共有6W多個API,遠超客戶心里認為的2W個API 資產數量!此外,也幫助客戶發現了使用到的一些開源組件如SpringBoot Acuator、XXL-JOB,沒有開啟鑒權配置,攻擊者可以通過這些組件獲取數據庫用戶名、密碼、進行遠程命令執行
在這個案例中,我們的平臺在客戶那里上線了兩個月,發現了多起使用動態IP資源發起的數據爬取、營銷作弊、掃號、違規交易的攻擊,客戶反饋,我們的管控平臺發現的東西,已經在他們的認知之外了。
譚曉生:以情報為基礎做API安全有什么優勢和亮點?用戶能從你們的方案中體會到哪些實際的效果?
邵付東:是的,網絡安全產品與方案的所謂優勢和亮點一定是要從客戶視角來看的,客戶對API安全產品的核心需求點是風險的發現能力,相比其他解決方案,從客戶的視角來看,我們的方案會有兩個方面的優勢:
第一,API因為自身具備開放性,且API資產的數量很大,攻擊流量和業務流量從內容上沒什么區別,所以也才會有多家知名的大型企業出現大量的數據被攻擊者通過API爬取的案例。傳統的檢測方法在保障攻擊事件檢出的全面性和準確性上存在不足,我們的情報包含了攻擊者使用的攻擊資源和攻擊手法,如攻擊IP、賬號、攻擊API的序列,從情報的視角能夠全面和準確地檢測出來API流量中的攻擊流量。
第二,傳統基于規則或者單純基于機器學習的風險檢測方案,對于混合云、大流量、大并發場景,需要全部流量匯聚到一個集中的地方來進行分析難以實現實時、精準的風險判定;而我們基于攻擊源情報來進行攻擊風險的檢測不需要全量流量,所以針對混合云,大流量、大并發場景,我們提供的分布式方案可以很好的解決風險檢測的及時性、全面性和準確性的問題。
譚曉生:你如何看待API市場的未來3-5年的短期發展和長期發展。
邵付東:2020年—2021年是API安全發展的種子階段,2022年進入萌芽階段,供給側增加,但需求側還是比較弱,嘗鮮者居多。我們認為未來三年,API安全市場一定是進入上升成長階段,需求側從早期的嘗鮮到大范圍的普及。
長期來看,API的開放和互動的連接性會更加放大,隨著客戶側需求的演化,供給側會出現同WAF、NDR、零信任類產品的整合情況,同時在API全生命周期上會出現新的整合的方案來滿足開放連接性的需要。
對于我們永安在線來說,情報是我們的核心能力內核,API安全業務是能力產品化和服務化的外顯,我們的定位是逐步圍繞API從生產、測試、上線到下線全生命周期構建安全保護的產品和服務。
我們的目標是,“安全每一個API,保證企業數字化安全”。
