實現API安全的全生命周期管理
隨著企業互聯網化進程的不斷深入,越來越多的業務被遷移到互聯網上,大量的業務交互和對外服務,導致企業大量使用API。因此,API已經成為業務的一個關鍵組件,企業必須優化和加速API,以提高App應用的性能、可靠性和用戶體驗。
大多數企業認為API安全是他們希望解決的首要問題。面對互聯網上飛速變革的業務形態,企業正在創建開放式API以滿足不斷變化的需求。然而,開放式API的安全負擔更大,因為利用自動化工具通過合法帳戶進行API濫用已成為開放式API攻擊的主流。注入攻擊、DDOS攻擊、身份賬號安全、敏感數據泄漏、參數篡改等API資產使用運維過程中引入的新風險給安全運維帶來了極大挑戰。
然而傳統API網關只能為客戶提供身份認證、權限管控及內容校驗等安全功能,這些功能的使用需要具備大量的應用開發工作,同時由于來自自動化工具的請求內容和正常請求并沒有差別,這些安全機制幾乎無用武之地。基于以上防護需求,本期發布牛品推薦第十七期——瑞數信息:API安全管控平臺。
01
標簽
API安全,自動化攻擊防護,動態安全資產管理
02
用戶痛點
API面臨的安全威脅
為了方便與其他企業快速對接,大量的企業使用Http/RESTful API,這也使得API的安全問題更為嚴峻,API面臨的主要安全威脅如下:
- API資產管理
- · API接口無法掃描和探測,大量的API資產如何收集?
- · API資產如何實現全生命周期管理?
- API安全攻擊風險
- · API面臨各種安全攻擊(業務邏輯層面的安全攻擊和WEB應用技術層面的安全攻擊),如何有效識別和防護?
- · 如何進行API請求參數的合規性檢驗?
- 敏感數據管控
- · 如何識別API訪問中的敏感數據并進行過濾和攔截?
- · 如何對API接口傳輸中的敏感數據實現控制,如脫敏?
- 訪問行為管控
- · 如何有效管理API的訪問行為,識別異常的訪問行為?
- · 從API訪問中如何甄別出真正的業務安全風險?
傳統API解決方案問題凸顯、
傳統API安全網關更多是在API請求的身份認證、權限管控、請求內容校驗與過濾以及API流量限速等方面進行防護,但是這些防護功能都與應用開發高度相關,應用程序修改后往往也需要修改API安全網關的配置,造成的部署與維護成本都極為高昂;尤其是企業近年來在業務上對API的依賴不斷增長,API功能也在不斷擴充與加強,傳統API安全網關的維護工作量問題愈加凸顯,因此,許多企業開始棄用傳統API安全網關。
鑒于傳統API安全網關部署與維護成本過高,而且無法有效防護新興的自動化工具威脅的弊端,瑞數信息創新地推出了API安全管控平臺,從而解決API面臨的各種安全風險與挑戰,實現API的資產管理、攻擊防護、敏感數據管控和訪問行為管控。
03
解決方案
瑞數API安全管控平臺(API BotDefender)
瑞數API安全管控平臺(API BotDefender)包括API資產管理、攻擊防護、敏感數據管控和訪問行為管控四大模塊,為API接口提供完整的安全管控方案。
資產管理模塊:實現對API資產的統一管理。API資產管理基于數據建模自動發現被保護站點的API資產,對API資產進行梳理、分析和上下線,幫助客戶實現API資產的生命周期管理。
攻擊防護模塊:綜合利用智能規則匹配及行為分析的智能威脅檢測引擎,持續監控并分析流量行為,有效檢測威脅攻擊。智能威脅檢測引擎在用戶與應用程序交互的過程中收集數據,并利用統計模型來確定HTTP請求的異常。一旦確定異常情況,智能引擎就會使用機器學習獲得的多種威脅模型來確定異常攻擊。
敏感數據管控模塊:對API傳輸中的敏感數據進行識別,針對敏感數據可以進行脫敏處理或者實時攔截,防止敏感數據泄露。
訪問行為管控模塊:對API接口的訪問行為進行分析,通過多維度建立API訪問基線、API威脅建模,發現異常訪問行為,避免惡意訪問和接口濫用造成的業務損失。
應用場景:
API資產自動發現
API安全管控平臺通過對訪問流量進行分析,自動發現流量中的API接口,實現API接口自動識別、梳理和分組。
API資產生命周期管理
對發現的API接口進行生命周期管理,基于關鍵字搜索功能快速分組,并且對分組后的API資產指定責任人,實現API資產的導入和導出、資產上下線。
API攻擊防護
識別各種針對API的安全攻擊,對安全攻擊進行實時防護;對API請求參數進行合規管控,對不符合規范的請求參數實時管控。
API敏感數據管控
對API傳輸中的敏感數據進行識別,針對敏感數據可以進行模糊化或者實時攔截,防止敏感數據泄露。
API流量監控與保護
監控API的訪問行為,針對高頻情況等進行防護,防止高頻情況等造成的API性能瓶頸。
未知API發現
通過從API網關上獲取API注冊數據,與API資產進行對比,發現未知API接口,防止未知API訪問造成的業務訪問壓力,導致業務不可用。
非法API調用防護
通過從API網關上獲取API認證和鑒權數據,防止未授權的API調用,保障API接口只能被合法用戶訪問。
API濫用防護
針對API接口,防止其被濫用并用于謀取利益。
API訪問行為管控
監控API接口的訪問和使用狀況,包括成功率、性能等,通過建立多維度訪問基線和API威脅建模,監控基線偏離狀況,高效識別異常訪問行為,避免惡意訪問造成的業務損失。
產品優勢:
瑞數API安全管控平臺(API BotDefender),實現全程式API安全威脅防護,其安全防護從API接入客戶端覆蓋到API服務器端。
1. API全自動發現
通過全流量數據接入和分析可以快速自動地發現業務潛在的未知API接口,并針對發現的API接口給出準確的綜合評分,減少API接口防護的盲點。同時,通過清晰的API列表輔助運維部門實時感知每個API接口的訪問情況,并進行管控。
2. 構建API畫像
采用全程式安全威脅防護技術可精準構建API畫像。通過API畫像快速預覽各個業務的API情況,包括使用情況、異常情況、訪問來源、非法API調用、API數據泄露和API接口濫用等。
3. API全渠道感知
瑞數信息API安全管控平臺部署在API應用服務器與負載均衡設備之間,也可以旁路鏡像部署,無需對現有業務進行任何改造,系統部署簡單。同時提供各種SDK,方便與各類API來源應用進行集成,可以對來源環境和用戶行為進行感知。
4. 動態響應防護
瑞數信息API安全管控平臺可以根據訪問行為分析的結果或指定條件,進行動態響應防護,防護手段包括:直接攔截、限頻、延時響應、軟攔截、限時黑名單以及與第三方系統聯動等多種方式。另外還可以基于信譽庫的積累實現多維度的信譽防護,包括IP信譽庫、設備指紋信譽庫和賬號信譽庫等,提升黑產通過逆向探測或機器學習分析等攻擊手段的難度。
04 用戶反饋
與傳統的鑒權API網關相比,瑞數API安全管控平臺具有API全生命周期的發現和管控措施,能夠很好地配合我行進行API業務威脅透視分析和防護,實現多部門和多平臺的關聯分析,彌補我行在API業務安全防護過程中跨部門之間溝通和信息共享不對稱性等問題。
——某金融行業客戶
瑞數信息一直以來為我司提供專業高效的安全服務,在日常工作中提供全方位的支持,在網絡安全攻防演習中積極配合,快速響應并及時處理各類突發狀況,保障了攻防演習的順利完成。
——某能源行業客戶
瑞數API安全管控平臺能夠幫助我司有效檢測威脅攻擊,防止敏感數據泄漏,已成為我行應對各種API攻擊必不可少的防護手段,在攻防演練和業務合規實踐中發揮作用非常突出。
——某運營商行業客戶
保障工作期間,瑞數信息在我中心承擔了網絡安全監測、自動化攻擊阻攔等工作,為我院圓滿完成各項工作提供了強有力的技術保障,效果顯著。
——某醫療行業用戶
安全牛評
API可以調用存儲、計算和數據庫的敏感資源,而數字化和云化轉型會導致企業API的大量開放,給企業敏感數據安全帶來極大的風險隱患。瑞數API安全管控平臺組合了API管控技術與數據防護手段,并從API視角在數據安全治理、防護、監管多個維度增強了數據可視化,API的細粒度管控將成為企業數據安全風險管控的重要抓手。
