2021世界信息安全大會:每一個API都可能成為攻擊入口
近年來,在國家政策的引導、互聯網技術的更新迭代和數字經濟行業的努力下,人工智能、5G、云計算等為代表的數字基礎設施不斷建設完善,我國數字經濟發展迅速。但同時不容忽視的是,數據安全也成為極大的隱患,如何平衡好數據開放與數據保護成為數字經濟健康發展的關鍵。
2021年12月14日,永安在線COO邵付東受邀出席以“數字經濟 安全為鑰”為主題的2021成都﹒世界信息安全大會,并發表主題為《基于情報的API數據安全防護體系》的演講。他表示,萬物互聯的數字時代背后是成千上萬的API在不斷賦能,API承載著核心的業務邏輯和敏感數據,針對其的攻擊越來越多,為API構建安全防護體系護衛數據安全勢在必行。
(永安在線COO邵付東)
邵付東提到,當前API安全管理所面臨的挑戰主要來自于三個方面。
一是資產未知。很多企業并不清楚自己擁有多少API,通常只會關注到在頻繁使用的業務API,一些老舊API和加密API容易被忽略,也并不能保證每個API都會上網關,就是這些被遺忘的影子API和僵尸 API 會帶來重大的未知風險。
二是攻擊未知。隨著黑產各類攻擊資源高度的模塊化和市場化,攻擊通常能夠偽裝成符合邏輯的合法訪問請求,讓甲方安全團隊更難以識別出風險流量,這也是眾多安全能力較強的大型互聯網公司還會遭遇因API導致的數據泄露事件的根因所在。
三是阻斷未知。由于黑產的攻擊手法越趨隱蔽化和變化極快,造成企業難以知悉攻擊特征是什么,并且在如何分析攻擊特征、如何應用攻擊特征、是否能夠對攻擊事件阻斷等方面存在困難。
邵付東強調道:“現有的包括WAF、API網關等產品在內安全解決方案雖然可以解決部分API安全問題,但在API安全管理方面有著明顯不足。”
比如WAF在企業的應用中,不會是所有的API流量都會經過WAF,尤其是東西向流量,而WAF很多時候是基于每一條流量去做出判斷,??但無法解決API邏輯攻擊問題。至于API網關其授權和限額等方法都無法解決海量小號、秒撥代理IP低頻攻擊等問題。
此外,很多現有安全產品對API風險感知的技術路徑往往是基于行為特征來進行風險審計,難以支撐風險發現的全面性。再者,這種方式也會導致誤判率高,產生大量無效告警,安全團隊需要花費極大的運營成本去驗證風險的真實性,產品不可用。企業迫切需要一套可預防、可解釋、可溯源的API安全管理體系。
基于情報的API安全防護體系
對此,永安在線提出API安全管理的更優解:基于情報的API安全防護體系,并推出永安在線API安全管控平臺。幫助企業有效實現對API資產的全面盤點、防止敏感數據暴露、預防發現阻斷API遭受攻擊、提升風險事件的響應速度以及數據合規自查。
邵付東在演講中談到,我們通過旁路流量分析,能夠以持續動態的方式去梳理API資產,做到只要API一上線或開始服務就能夠被快速梳理出來,同時還可以掌握到哪些敏感數據是在流動的。而基于情報所能賦予的能力,更是可以及時全面感知企業外部API風險,風險發現準確率達95%,同時基于精準預警輸出的攻擊者IOC情報,可以聯動WAF或風控系統等快速處置攻擊風險、阻斷風險。而這些特點則進一步形成了永安在線API安全管控平臺在API資產梳理、敏感數據管理、API風險感知、API安全缺陷評估等多方面的能力優勢。
目前,永安在線API安全管控平臺已廣泛應用于數據安全治理、護網行動支撐、新上線API安全測試、數據泄露事件追溯等場景。幫助金融、教育、企業服務、電商等領域的眾多企業實現API全生命周期的安全防護,深度保障API安全運行,助力企業業務獲得平穩、高效增長。
關于永安在線
永安在線(Ever.Security)以黑灰產情報能力建設和攻防技術為核心,為企業提供業務反欺詐和API數據安全解決方案。通過業務風險監控體系、風險情報數據能力和豐富的黑產攻防經驗,幫助企業解決賬號安全、營銷反欺詐、流量欺詐、接口安全等問題,為企業風控提升攻防效率,保障企業在線業務健康發展。
目前已合作騰訊、阿里巴巴、字節跳動、華為、百度、京東、招商銀行、華泰證券、滴滴、拼多多、愛奇藝等300多家企業客戶。
