為何要格外重視并積極應對API安全挑戰？ - 網安 - 專業的網絡安全產業、社區、知識平臺

眾所周知，API安全在今天已經是網絡安全行業的一條熱門賽道，但到底是什么推動它獲得如此多的關注而成為熱門呢？圍繞API的在當前到底給企業帶來了怎么樣的風險和挑戰？作為企業，面對當前的API安全形勢該如何應對呢？圍繞著這些話題，多位來自安全企業以及包括九方智投、中銀證券、平安科技、蔚來汽車、錦江酒店、中通快遞等甲方企業的安全負責人，各自結合自己工作中的親身體會和實踐，在本次論壇現場展開了探討。本文是將其中一些重要話題和論點提煉而來，以期望能夠為大家認知API安全的重要性以及如何做好API安全管理提供一些參考。

為何我們要關注API安全？

在數字化轉型過程中的當下，數據已經成為重要的生產要素，它需要通過流動才能創造更高的價值，在這一背景驅動之下，API的數量急劇增長，與之相關的安全風險也在同步增長。在該論壇中，包括安全企業、甲方用戶在內的多位嘉賓都強調了API安全在當下的重要性，在他們的發言中可以充分體會到大家的一個共識——API安全風險爆發所導致的后果很有可能會造成企業所不能承受之重。

可以看到，基于API安全問題所引發的事件幾乎每隔一段時間就能見諸報端，其中最為典型的事件就是此前國內某大型社交平臺因其用戶查詢接口導致APP數據泄露，影響用戶數量高達5.38億，影響范圍之廣令人瞠目，給企業自身更是造成了嚴重的負面影響。

據永安在線發布的《2021年黑灰產行業研究及趨勢洞察報告》中的內容顯示，僅在2021年內，就有多個不同行業的頭部企業因API安全問題導致爆發數據泄露事件，如：

2021年7月，國內某大型教育機構數據接口暴露在外，API被惡意爬取，最終導致其40萬條用戶信息數據，在暗網被售賣。
2021年9月，國內頭部旅游公司因內部系統API被內鬼利用，導致包括個人姓名、手機號、航班號及起降時間等敏感信息泄露，隨后這些信息被發現已在數據交易平臺中進行售賣。
2021年10月，國內頭部物流公司因離職員工數據訪問權限未及時收回，導致后臺系統中包括寄件人姓名、手機號、運單編號、產品類型以及配送信息等敏感內容的訂單數據發生泄露，以每日5萬條的量級在數據交易平臺被售賣。
2021 年12月，國內某證券公司因內部系統數據API管控疏忽，導致包括客戶姓名、手機號、開戶時間、交易情況等敏感數據在內的客戶信息遭泄露，以每日1萬多條的量級在數據交易平臺被售賣。

這一個個發生在身邊的鮮活案例，都意味著API安全所能制造的風險并不亞于任何其他的網絡安全威脅。

論壇現場，也有嘉賓分享了一個關于API風險的場景：

某企業想要舉辦一場活動，需要邀請客戶參與，于是技術部門開始提供支持，企業將邀請信息以短信的方式發送到客戶，客戶通過點擊短信中的鏈接去填寫包括姓名、就職單位、職位、手機號碼等個人工作信息進行報名。在信息收集完成后，活動負責人需要導出客戶列表已確認活動的參與人員，然而，由于技術人員認為這是一個臨時需求，因此為了圖省事就直接將API接口放出，所有參與活動的客戶信息就通過該接口直接讓負責人查看。可怕的是，這個API接口沒有上任何的防御措施，甚至訪問權限都沒有設置，只要調用這個接口，該所有參與活動的客戶信息就全都一覽無余。

看到這里，相信大家都很明白了，這個潛在的風險一旦爆發，后果不堪設想。

事實上，因API 管控不當造成的內部安全缺陷，已是引發數據泄露的主因。這里依然引用永安在線所提供的數據，在其2021年對監控到的1700余起數據泄露事件進行分析后發現，引發數據資產泄露最大的原因有：

（1）API 管控不當造成的內部安全缺陷，占比達 45.45%，這主要是企業數據流轉節點的不斷增多，導致大量無法感知到的 API 暴露在外，被黑產利用并進行攻擊導致；

（2）運營商/短信通道泄露，占比達 36.23%；

（3）內部人員泄露，占比達 14.83%。

值得一提的是，在排名第三的原因——內部人員泄露中，也有很大的可能是內部人員越權而非法利用了API，或者是離職員工權限未及時收回導致。因此，實際上因API管控不當造成的數據泄露風險已經超過50%。

同時，隨著海內外網絡安全相關法律法規的不斷健全，一旦發生安全事件導致數據泄露，其所面臨的不僅是經濟損失、聲譽損失，還會觸及違法風險，面臨更為嚴厲的懲治。來自某互聯網企業的安全負責人黃鵬華在論壇中以《強監管下企業數據安全風險管控的思考》為主題的發言中，重點提及了數據安全監管懲治力度的變化，在2017年6月施行的《網絡安全法》中，最高罰款額度為100萬元，在2021年9月施行的《數據安全法》中，最高罰款額度升至1000萬元，而在2021年11月施行的《個人信息保護法》中，最高罰款額度最高達到了5000萬元或上一年度營業額的5%。

一面是API極易出現的安全問題，一面是API爆發安全問題后所面臨的嚴重后果。不難看出，API安全的形勢在當前格外嚴峻，其所涉及的數據泄露風險很有可能會給企業帶來致命的打擊。

為何API安全總是難以做到位？

既然已經意識到日益嚴峻的API安全形勢，為何當前的API安全卻普遍做得不夠好呢？這也是在論壇中討論較多的話題，但最終都指向了兩個問題：

一、傳統的安全防護難以滿足API安全所需

參會嘉賓表示，很多企業在安全建設方面的投入依然集中在傳統層面，這對于API安全而言幾乎是蒼白無力的，主要集中在以下幾點：

1、傳統的安全防護手段主要以邊界安全為主，在安全能力上無法覆蓋到API敏感數據的保護，從而導致API數據泄露和違規訪問的風險依然無法規避。

2、主流的WAF等產品目前也更多的是覆蓋客戶端和服務器之間的南北向流量，而對不同服務器或數據中心之間的東西向流量卻是一個盲區。

3、API網關雖然可以在解決授權及認證方面表現出一定的能力，但問題在于——并不是所有的API都會在網關注冊，而業務上會存在大量的影子API。同時，它仍然無法做到感知和防御海量虛假號碼及秒撥代理發起的低頻攻擊。

二、企業對于API安全重視程度存在不足

根據過往的經驗能夠看出，安全建設上的不足其根源還是在于企業的重視程度，如果給予足夠高的重視，那么在API安全建設上必然也會有的放矢。這一點在論壇中也得到普遍的到了大家的共識。

從整個安全的角度看，如果企業沒有一個將安全嵌入到業務之中的態度，那么其對安全的重視程度可能也僅限于滿足合規，在這種情況之下，無論是相關安全管理制度建設的落地執行程度，還是人員的日常安全意識的教育和培養程度，都不會擁有較高的水平，對于API安全管理而言也同樣如此。

張福明在發言中表示，在一些企業管理者眼中，一切以業務為重，只要沒有爆發安全問題，或者爆發的問題沒有讓企業感受到深深的痛，那么這些在安全團隊眼中的問題，也許就不是問題。如果一個企業管理層都抱有這樣的態度，那么必然會傳導到整個企業的員工中去。

▲九方智投產品技術總監張福明

張福明在這里分享了一個實際工作中的體會，他所處的團隊中有大約有200多人是專門負責寫代碼的，無論是依靠某一個人去具體管理所有人還是通過規章制度去管理所有的事情，總還是會有各種例外發生，比如開發者出于各種原因未能遵循標準的API開發規范；再比如研發的人員流動問題，人員更迭之間的交接過程肯定會存在一個斷層，之前的人是否埋下過什么風險，后面的人如何發現和彌補等等都有很多的未知數。

“這些問題盡管都想得到甚至看得到，但是在內部強大的業務需求壓力之下，去要求API、代碼等等相關的安全建設水平能夠同步跟進，的確是一件很難的事情。”張福明說道。

即便是研發人員的經驗非常豐富，抑或即便是有相關制度在制約，但如果重視程度不夠或制度執行不到位，那么也無法保證安全，仍有可能會因為各種因素（包括前文所述案例中的人為因素）導致API接口成為安全缺口。

通過嘉賓們上述的發言不難總結出一個結論——傳統的安全產品不能更好地滿足API安全所需之外，對安全重視程度不夠問題似乎更為嚴重，也就是“業務大于安全”，這是一個老生常談的問題。

當然，盡管安全很重要，但對不同階段的企業，一概而論的要求業務和安全要絕對對等發展也是不現實的，這也是我們為什么需要更好的安全工具、產品和解決方案去平衡這一問題，在API安全管理上，也同樣如此。

三大難題--API安全管理面臨的主要挑戰

通過對嘉賓現場的發言整理會發現，即便是對API安全有了足夠高的重視程度，但是在實際相關安全建設過程中，仍會面臨諸多挑戰，其中主要來自于以下三大難題：

一、API數量急劇增長導致API資產梳理難。

企業幾乎每天都會有新的業務需要上線，但未必每一個新業務都會經過安全部門的完整審計，從而難以在第一時間發現和識別這些新增的API。

與此同時，存量API的數量龐大，永安在線COO邵付東在此前接受采訪時就表示，“一個短期的營銷活動，有些企業的人員可能會覺得反正它上線不久后也會下線，所以并沒有將相關的API上到網關，但根據我的親身經歷來看，大多數這種情況的結果都是最后沒有下線。”

在他看來，僅僅是了解自己的系統中有哪些API，都成為企業在目前這種追求快速迭代情景下難以應對的問題。

二、有效應對方案匱乏導致API風險感知難。

這一點不難理解，由于此類攻擊流量隱藏較深的特點，令API所存在的業務邏輯缺陷，以及如何識別正常流量中的惡意攻擊流量都難以通過規則運營及滲透測試去發現，因此其風險的感知難度很高。

三、自動化手段的缺失導致API威脅阻斷難。

雖然很多企業也配備了一些安全設備，但在大量的報警信息中可能只有幾個是有效的，隨后如何去有效的阻斷？這無疑是企業API安全管理的一項巨大挑戰。

這些核心問題在本次論壇中也被再次提及，參會嘉賓在發言中特別強調道，企業所研發的系統、功能都是為了業務服務，API作為連接系統和前端的接口，在遭受攻擊時，其攻擊流量是隱藏在正常的業務流之中的，這種情況之下，用戶自身是很難鑒別哪些是正常流量而哪些是攻擊流量，進而更難以去有針對性地阻斷。

張福明指出，這些問題最終的表現就是——滿足需求的功能上線了，但在這之中是否存在安全隱患，卻沒有辦法去偵測。為了滿足在線業務的需要，其相關系統的迭代速度往往很快，但是API安全管理沒有做到位，風險也會伴隨而來。“很悲哀的是，可能到一個系統下線的時候，我們都不知道它是有漏洞的，而且曾被攻擊過。”

應對挑戰的新策略--基于情報建立API安全基線

面對前面所提到的API安全管理的難題，永安在線所提出基于情報建立API安全基線的方式也給大家提供了一種新的解題思路。

▲永安在線產品總監黃巍

首先，通過旁路流量分析，能夠以持續動態的方式去梳理API資產，做到只要API一上線或開始服務就能夠被快速梳理出來，同時還可以掌握到哪些敏感數據是在流動的。同時，結合外部情報對流量分析的能力能夠不斷更新API識別的引擎，以保證API梳理的準確性。

其次，透過外部威脅情報和黑灰產情報的補充，既可以有效幫助發現實時風險，也能確保識別的準確性。運用情報的能力，可以捕獲到攻擊的流量、攻擊中使用的自動化工具、攻擊中使用的資源（IP、賬號、手機號等），隨后將這些原始情報經過永安在線情報分析系統的自動化分析，會提取出攻擊目標，也就是哪些API被攻擊了。同時也會提取出攻擊IOC，用于識別和阻斷惡意的API流量，還會聚類攻擊源提取出攻擊團伙，從而便于對攻擊進行溯源。

通過應用基于這一策略的解決方案，就可以幫助企業用戶去很好地應對具有前述三大難題特征的API安全挑戰。

提高人員安全素養與應用專業安全產品

做好API安全管理需要雙管齊下

盡管API安全管理面臨諸多的痛點、難點，但也并非缺乏對策。一方面要從自身內部的管理層面入手不斷加強，建立和完善相關制度建設，并培養相關人員的安全意識和素養，盡可能地避免甚至杜絕人為制造API安全問題的可能性。另一方面，還需要借助專業力量的支持，專業的API安全管理產品、解決方案，能在很大程度上幫助企業解決API的不可知、不可控兩大核心問題，快速建立起有效的API安全防線。

當然，最重要的仍然是企業管理者對API安全的認知和重視程度，看完上述論壇嘉賓所分享的真實體會和案例可以感受到，無論是從合規角度還是從自身業務角度，API安全都應成為企業安全建設中的重要關注點之一，而不是可有可無的。

作為業內首個聚焦于API安全問題的專業論壇，永安在線表示，API安全管理論壇將會持續舉辦，以致力于為業界搭建一個深度交流和探討API安全問題的平臺，聯合更多的甲方企業以及開發人員、安全人員等群體一同探討如何更好地實現API安全建設相關話題，為企業治理API安全風險提供有力參考。據透露，下一期論壇也已在規劃之中，有興趣參與的朋友敬請期待。