工信部《數據傳輸安全白皮書》發布,星闌科技CTO解讀數據傳輸視角下的API安全
在2022全球工業互聯網大會上,專注于API安全防護的星闌科技作為《數據傳輸安全白皮書》編制組成員及企業代表以“數據傳輸視角下的API安全”為主題進行了演講分享。為此,我們星闌科技CTO徐越為我們解讀了關于企業API安全建設以及《數據傳輸安全白皮書》的編制過程的相關內容。
API經濟迅猛發展,帶動API安全趨進
關于企業中的API安全問題,徐越表示:數字化轉型依賴于企業的數據整合能力,即將其服務、能力和資產打包到可重復利用的模塊化軟件中。每個企業都在其系統中儲存了有價值的數據,然而要利用好這些價值,就要通過 API 的傳輸能力打破數據孤島,讓數據在不同環境中流通,包括將企業與客戶、企業與合作伙伴、企業與生態中全部有價值的資產結合起來。
徐越說:萬物互聯時代,如果我們把一個復雜應用系統比作生命體,數據是血液,API就是承載血液流動的“血管”。我們在編寫《數據傳輸安全白皮書》過程中,API也是各方關注的重要數據傳輸路徑。從IaaS到PaaS、SaaS,從PC到手機APP再到各種IoT設備,API在軟件世界中無處不在。當前,平均1/3的軟件數據傳輸都涉及API交互,許多企業以開放API重構業務交付模式之后,增長勢頭遠超過其自己的客戶交付能力。開放的API生態系統是企業數字化平臺開放重構的關鍵。從商業角度來講,API作為一種代表了“數據“和”能力“的交付物,從技術概念變成了商品,所謂的API經濟也逐漸誕生。隨著API經濟的深入,會加速業務與IT融合的速度,企業的IT部門會更快的融入業務,真正做到技術驅動業務轉型,API也會幫助企業更好地進行數字化轉型,在這個過程中保證API的安全性也一定會引起大家的重視。
API安全事件激增,API安全備受矚目
在互聯網的世界里,“安全”和“開放”的矛盾性是一個永恒的話題,但“開放創新”的前提必然是“安全可控”,也就是說沒有安全的API作為基礎,創新本身的可靠性就下降了。
隨著數字經濟不斷深化發展,API越來越受到世界各地組織機構的青睞,其數量呈現出爆炸性的增長,與此同時安全問題也隨之而來。Imperva發布的一項新研究揭示,易受攻擊或不安全 API 的全球成本不斷上升。對近 117,000 起獨特的網絡安全事件的分析估計,API 安全隱患每年會導致 41-750 億美元的損失。
根據Salt Security發布的《2022年API安全狀態》報告中也提到,大約34%的組織完全沒有API安全策略,另有27%的組織表示只制定了基本策略,僅包括最低限度的API 安全狀態掃描和人工審查,毫無控制或管理措施。Noname Security委托451 Research開展的另一項研究發現,41%的組織在過去一年內經歷過API安全事件。其中,63%涉及數據泄露或遺失。
徐越認為:如今在數據安全加緊落地的大背景下,從數據的生命周期來講,API關注的是數據傳輸和數據使用兩個角度的問題。以前的數據泄露事件大多是數據庫入侵,而近年來的大規模數據泄露事件有很大一部分都是從API直接泄露。因此,無論是政府、企業還是安全廠商都愈發重視API安全問題,越來越多的行業出現了針對API安全的監管要求,我們也在積極參與共同為API及數據安全的落地貢獻力量。
星闌科技API安全實踐落地,初見成效
談到API安全實踐,徐越表示:大量企業存在API業務,但是缺少系統性的API安全建設。基礎的API安全管理從技術角度首先應該自動化實現API的資產梳理,摸清家底;然后是對攻擊事件、使用行為的監測能力;同時還需關注API中敏感數據的使用情況和流動方向。傳統基于數據統計的API管理技術方案有其局限性,沉淀數據和分析經驗的同時,不斷探索與應用新生代前沿技術是安全產品必經的技術路徑。
星闌科技一直致力于幫助企業建立API全生命周期安全防護,在各個位點植入安全能力,從而全面提升整體API安全水位,即圍繞API的“設計、開發、測試、運行、下線”等不同階段建立API全生命周期安全技術能力,以技術工具輔助企業建立API安全生產管理制度與流程加以管控。為輔助企業落實API數據安全監管、API攻擊防護效果,星闌科技研發的“螢火”API安全平臺,可以為企業提供API資產梳理、API威脅檢測、API數據管理能力,緩解企業的API風險。該產品還可以充分適配傳統IT架構及云原生容器化、微服務架構,可以和API網關、API開放平臺等新興的API生態解決方案融合,全面覆蓋企業API安全風險。
徐越說:在技術實現方面,我們基于的實時大數據計算能力對流量進行數據建模,識別出API通信格式并對同類的API進行自動聚合分析,生成API的行為畫像并對異常行為如:API爬蟲、API越權訪問、API敏感數據泄露進行告警。此外,基于安全攻防實驗室的長期漏洞積累,團隊持續跟蹤行業內的漏洞情報并在第一時間進行分析研判,目前系統內部集成了Web API漏洞、中間件API漏洞與API協議攻擊方式上百種,全面覆蓋API后端應用漏洞攻擊風險。在實用性方面,我們基于多個行業客戶的深入業務流調研,在產品功能中提供了符合行業屬性的集成方案,使產品能夠結合企業安全管理流程,充分降低人工運營成本。目前我們的產品已經為政府、金融、互聯網等行業客戶提供新一代API安全解決方案,獲得了行業和客戶的高度認可。
《數據傳輸安全白皮書》發布意義重大
在本次全球工業互聯網大會——網絡和數據安全發展分論壇上,工業和信息化部網絡安全產業發展中心(工業和信息化部信息中心)發布《數據傳輸安全白皮書》,星闌科技作為白皮書編制單位之一,為此次白皮書的高質量發布貢獻了自己的力量。
提到此次參編《數據傳輸安全白皮書》,徐越表示,標準及白皮書的發布一方面可以規范市場現狀,使廠商提供的技術與服務更加標準化,另一方面也可以加快自主創新技術的成果轉化,促進技術創新,支撐API安全技術和賽道快速發展。所以,除了產品研發外,星闌科技也一直致力于將自身的技術積累及實踐經驗貢獻到相關標準及白皮書的編撰工作中去,推動API安全技術的規范化、標準化發展。未來,星闌科技將會與眾多安全企業一同推動API安全技術的適配與升級,填補數據安全行業生態圈空白,促進網絡安全產業的可持續發展。
