鄧欣:API安全治理只是開始 未來服務將覆蓋API全生命周期管理
安全419關注到,近期永安在線的動作頻頻,先是官宣完成了5500萬融資,隨后于12月3日在深圳召開了首屆API安全管理論壇,通過這些動作大家也能明顯看出,永安在線的戰略升級計劃已經全面開啟,且方向清晰——API安全。
API安全緣何這兩年成為業內出現頻次極高的名詞之一?與此同時,永安在線的戰略規劃會選擇以API安全為重點?借著這次論壇的召開,我們于會后就這些問題與永安在線的CTO鄧欣展開了溝通,看看以他們的視角是如何看待的。
永安在線CTO 鄧欣
//鄧欣簡介
INTRDUCE
全球黑客大賽冠軍,前騰訊安全技術專家。2007年南開大學碩士畢業,2018年正式加入永安在線,專注于研究當前最前沿的網絡安全攻防技術,包括漏洞挖掘和利用、APT攻擊挖掘復雜病毒木馬打擊、黑灰產攻防對抗等。擁有大規模黑客攻擊和重大安全突發事件應急處置能力和經驗。
API是數字經濟發展基礎之一
已有的安全產品難以應對API安全問題
“API安全其實并不是近兩年才提出的一個新理念或者一個新領域。”鄧欣強調道。談及為何這段時間會成為業內關注的焦點領域之一,他從三個方面為我們進行了闡述:
一,API在數字經濟發展中的重要性愈發凸顯
隨著云計算、微服務等技術的持續發展,API被越來越多的企業廣泛使用,承載其核心的業務邏輯和敏感數據,在當前極為豐富的數字生活背后,其實就是成千上萬個API在工作。比如我們通過互聯網與家人、好友或者陌生人互動,會有注冊、登錄等這些與賬號相關的API接口;再比如我們在網上購物支付時,會有與交易、支付相關的API接口等等。這些API接口一旦被攻擊,將會對企業及其所服務的客戶造成巨大危害。同時,隨著開放銀行、開放保險等各行各業開放生態的持續發展,API作為其中的關鍵基礎設施之一,API安全必然會持續受到高度的關注
二,API被攻擊導致的安全問題越來越多且越來越嚴重
從實際情況看,API攻擊的案例越來越多。特別是過去幾年中,一些重大的數據泄露事件的背后,其根源就是源于API被攻擊。鄧欣告訴我們,像Facebook、Linkedin這樣的互聯網巨頭,其網絡安全基礎建設理應比大部分企業做得更好,但是近段時間也都曝出因API被攻擊導致了嚴重的數據泄露事件。再如印度、加拿大等國家在疫情期間也均出現了核酸檢測結果等疫情數據泄露的情況,依據事件資料顯示,也是內鬼利用內部API接口竊取數據所導致。
隨著《數據安全法》《個人信息保護法》等法律法規在2021年的施行,無論是政府還是普通大眾,對于數據和隱私越來越重視,而作為數據泄露的主要來源之一,API安全自然會被業界廣泛關注。
三,當前已有的安全產品解決不了API安全的問題
OWASP在2019年就提出了API Secuirty Top10,里面涉及到包括授權、認證、數據暴露等易導致API被攻擊的問題,無論是API網關、WAF、漏掃等已有的產品,都不能很好的覆蓋和解決,因此圍繞API的安全所展開的話題也開始被業界所廣泛關注
“永安在線自成立以來,便一直聚焦于業務風險情報相關底層能力的構建和積累,現在回過頭看,在業務安全這個賽道上,這些能力幫助客戶很好的解決了在業務場景上所遇到的問題,包括賬號安全場景、營銷反作弊場景等。”鄧欣介紹道,“在為客戶服務的過程中,通過彼此之間的溝通和我們自身的思考,發現他們通過我們輸出的能力去解決的業務安全問題,如果基礎安全的視角去看,其中有很多都是包括哪些API接口遭到攻擊、攻擊的特征是什么、攻擊源在哪里等類型的API安全問題。”
通過和他的交流,我們不難總結出,永安在線選擇將API安全作為自己戰略升級的方向主要源于兩點——客戶需求和自身安全能力所及。
鄧欣認為,在API被廣泛使用的今天,業務層面的安全,其底層邏輯就是API的安全。依靠永安在線的產品和能力,完全可以從解決業務安全若干個場景下的問題,進一步擴展到解決整個API安全層面的問題。
“選擇API安全這個賽道并不是刻意為之,而是自身能力所及之后,一個順理成章的事情。”鄧欣談道。
高精度風險感知
——基于情報做API安全的最大優勢
眾所周知,永安在線此前長期專注于業務安全情報領域,如前文所述,既然此次戰略升級是立足于自身能力所及,那么對于自身而言,業務安全情報領域的能力積累對于此次戰略升級的支撐作用體現在哪里呢?
關于這個問題,鄧欣表示,這應該首先從企業面臨的API安全治理的難點入手,據他們觀察及總結后,主要體現在四點,分別是:
1、API資產管理。(我不知道我有哪些API)
2、API風險感知。(我不知道哪些API被攻擊了)
3、API風險阻斷。(我不知道如何區分正常的API流量和攻擊流量)
4、API風險溯源。(我不知道如何對攻擊進行溯源)
在這四點之中,基于情報的能力可以很好的解決2、3、4這三大難點。鄧欣介紹到,首先,永安在線會通過自身情報的能力去捕獲到攻擊的流量、攻擊中使用的自動化工具、攻擊中使用的資源(IP、賬號、手機號等),這些原始情報經過永安在線情報分析系統的自動化分析,會提取出攻擊目標,也就是哪些API被攻擊了。同時也會提取出攻擊IOC,用于識別和阻斷惡意的API流量,還會聚類攻擊源提取出攻擊團伙,從而便于對攻擊進行溯源。
“如果沒有或者缺少情報能力,那么這些難點毫無疑問會很難有效的解決。”鄧欣以API風險感知為例闡述道,目前市面上主要針對這一問題的解決方案普遍是專家經驗結合機器學習,比如某個API的流量從某個特征維度上出現了異常,就認為是出現了風險。關于這一現狀,他明確指出這之中存在著兩方面的問題:
一是漏報,有經驗的攻擊者,其攻擊流量往往隱藏在海量的正常業務請求當中,是難以被發現的,比如利用代理IP/秒撥等資源進行的慢速撞庫等;
二是誤報,在線上業務高度繁榮且互聯網用戶基數龐大的今天,業務側出現一些大的波動,往往并不是攻擊,而只是業務的正常波動,比如某個平臺發起了一場規模龐大且優惠力度極大的營銷活動,必然會帶來注冊API接口的調用激增。
“結合情報能力,一方面可以直接做更加精準的風險感知,另一方面也可以更好的豐富我們的專家經驗,以及更好地訓練我們的風險感知模型。”
談及具體應用,鄧欣還是以我們所經常使用的分類——外部風險和內部風險兩方面去分別進行了闡述。
首先是外部風險方面,API已經成為攻擊者目前所熱衷的目標之一是毋庸置疑的,攻擊者會采用包括掃號、撞庫、爬取數據等方式對業務API接口發起攻擊。永安在線的API安全解決方案在應對此類風險時,除了可以做到對攻擊的感知和阻斷之外,還可以做到對攻擊的溯源。“在今年的HVV期間,我們曾幫助客戶發現了一次外部黑客攻擊,在該事件中,我們依據從攻擊流量中提取的特征,經過我們的安全管控平臺分析后,發現與我們風險情報監控到的一款自動化攻擊工具提出的特征高度一致,于是我們通過這款工具進一步對攻擊者進行了溯源,并最終定位到了攻擊者。”
其次是內部風險方面。“根據我們情報監控到的數據泄露事件,其中很多均為內鬼通過這種內部API接口泄露出去的。普遍來看,內部系統往往不會有很強大的安全策略,這當然包括內部的API,因此這給了內鬼可乘之機。永安在線目前所提出的解決方案,會從內部賬號的維度對內部API的調用進行風險審計,從而幫助客戶發現可疑賬號。”
梯隊建設、加強能力、建立生態
——融資后的永安在線“有點忙”
在2021年12月初,永安在線正式宣布了自己完成5500萬Pre-A輪融資的消息,那么隨著戰略升級計劃的啟動,未來準備如何規劃呢?
“從技術、產品的角度看,規劃已經有了,但這兩者都離不開人,所以我們未來一定會加碼人才梯隊的建設。”鄧欣強調道。
這個答案并未出乎我們的意料,早在2021年10月我們采訪其創始人、CEO老畢時,他非常強調的一點就是——永安在線是一家以核心團隊的能力去構建企業底層能力的企業,因此他們自成立以來一直非常重視團隊建設,通過企業資料可以看到,團隊中多數核心成員都是來自于騰訊、金山等業務安全領域的專家。
鄧欣介紹,具體到API安全方面,他們之所以信心十足,除了重要的能力積累之外,人才也是一大因素。此前發布的API安全管控平臺的項目負責人——王健,是一位前騰訊安全云大數據挖掘及人工智能領域的資深專家,曾深入實操過騰訊安全數據中臺建設中的技術架構和騰訊安全大數據挖掘及安全領域應用業務開拓等項目。其加入永安在線一年有余,以他為核心組建了一支穩定過硬的數據驅動型產品研發團隊。
在技術方向上,鄧欣表示,永安在線將會以API安全管理作為切入點,快速的在API資產梳理、API敏感數據管理、API缺陷識別以及API風險識別等幾方面建立起能力上的優勢,這也是企業的立身之本,“我們未來會在API安全管理的基礎上逐步拓展到API全生命周期的管理,覆蓋API從設計、開發、測試、部署、運營,直到API的下線,給客戶提供包含安全在內的一整套產品和服務。”
同時,逐步建立API安全生態合作也是永安在線的規劃之一,據他介紹,目前他們已同部分云廠商以及安全廠商建立了良好的合作意向,未來會以產品聯合、合作開發等方式去為廣大企業客戶提供能力更強、服務更完整、體驗更好的解決方案。
“在數字化轉型的浪潮之下,我們希望未來能和整個行業一起努力,為推動我國API經濟的繁榮保駕護航。”
