如今，數(shù)據(jù)已成為新興的生產(chǎn)要素，是國家基礎(chǔ)性和戰(zhàn)略性資源，隨之而產(chǎn)生的數(shù)據(jù)安全需求也愈發(fā)凸顯。自2021年初，國家網(wǎng)信辦、工信部、公安部等多部門對(duì)數(shù)據(jù)安全、網(wǎng)絡(luò)信息安全等涉及到國家安全的領(lǐng)域密集出臺(tái)相關(guān)監(jiān)管措施，從上至下編織起“數(shù)據(jù)安全”和“網(wǎng)絡(luò)安全”兩張大網(wǎng)。

7月10日，《網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見稿）》公開征求意見；今年9月1日，《中華人民共和國數(shù)據(jù)安全法》就將開始實(shí)施……在此背景下，國家和企業(yè)對(duì)于數(shù)據(jù)保護(hù)和安全建設(shè)的訴求已經(jīng)提升到一個(gè)全新層次。而作為連接數(shù)據(jù)和應(yīng)用之間的重要通道，API正在成為攻擊者眼中撬開數(shù)據(jù)“蜜罐”的開瓶器。

API成數(shù)據(jù)安全最大風(fēng)險(xiǎn)敞口 如何打贏數(shù)字時(shí)代的“數(shù)據(jù)保衛(wèi)戰(zhàn)”？

在數(shù)字時(shí)代下，無論是互聯(lián)網(wǎng)商業(yè)創(chuàng)新還是傳統(tǒng)企業(yè)數(shù)字化轉(zhuǎn)型，都推動(dòng)了API經(jīng)濟(jì)。可以說，API就是傳統(tǒng)行業(yè)價(jià)值鏈全面數(shù)字化的關(guān)鍵技術(shù)，其連接的已不僅僅是系統(tǒng)和數(shù)據(jù)，還有企業(yè)內(nèi)部職能部門、客戶和合作伙伴，甚至整個(gè)商業(yè)生態(tài)。但是，API目前所面臨的嚴(yán)峻安全挑戰(zhàn)，卻很容易被管理者所忽視，也并無過往的應(yīng)對(duì)經(jīng)驗(yàn)。

從只用于企業(yè)內(nèi)部服務(wù)調(diào)用的API 1.0時(shí)代，到面向服務(wù)架構(gòu)的API 2.0時(shí)代，再到如今成為開放平臺(tái)和云原生微服務(wù)的API 3.0時(shí)代，API已經(jīng)逐步從限制性的局部接口，轉(zhuǎn)向更大和更廣的開放。這為開發(fā)者帶來了諸多好處，比如可公開獲取、標(biāo)準(zhǔn)化、高效且易于使用等，但同時(shí)其自身的風(fēng)險(xiǎn)敞口進(jìn)一步擴(kuò)大。Gartner在其《如何建立有效的API安全策略》報(bào)告中預(yù)測，“到2022年，API濫用將成為導(dǎo)致企業(yè)Web應(yīng)用程序數(shù)據(jù)泄露的最常見攻擊媒介。”

近年來，越來越多的攻擊者正利用API來實(shí)施自動(dòng)化的“高效攻擊”，由API漏洞利用的攻擊或安全管理漏洞所引發(fā)的數(shù)據(jù)安全事件，嚴(yán)重?fù)p害了相關(guān)企業(yè)和用戶權(quán)益，逐漸受到各方的關(guān)注。比如：2021年4月，F(xiàn)acebook平臺(tái)上的5億用戶數(shù)據(jù)泄漏，涉及信息包括用戶昵稱、郵箱、電話、家庭住址等信息，事后判定為業(yè)務(wù)接口泄漏。時(shí)隔2個(gè)月，另一著名社交平臺(tái)LinkedIn領(lǐng)英，有超過7億用戶數(shù)據(jù)在暗網(wǎng)出售，涉及用戶的全名、性別、郵件以及電話號(hào)碼、工作職業(yè)等相關(guān)個(gè)人信息。據(jù)悉，部分?jǐn)?shù)據(jù)也是通過API泄露獲取。2020年，微博的3.5億數(shù)據(jù)泄露，就是來自于終端APP的業(yè)務(wù)邏輯API被非法流量調(diào)用超過40億次而導(dǎo)致。2020年，印尼最大的電商網(wǎng)站Tokopedia 9100萬用戶信息泄漏，里面涉及到用戶曾經(jīng)瀏覽到商品信息和訂單信息，也為業(yè)務(wù)接口泄漏。由于API既能夠起到連接服務(wù)的功能，又可以用來傳輸數(shù)據(jù)，因此，API的安全防護(hù)非常重要也非常敏感。

整體來看，API所面臨的風(fēng)險(xiǎn)包括：憑據(jù)失陷、越權(quán)訪問、數(shù)據(jù)篡改、違規(guī)爬取、數(shù)據(jù)泄露等諸多安全風(fēng)險(xiǎn)。從API的安全訪問流程上進(jìn)行評(píng)估，實(shí)施的防護(hù)措施應(yīng)包含有效的身份認(rèn)證、可控的訪問授權(quán)、針對(duì)特定數(shù)據(jù)返回結(jié)果的篩選、訪問異常行為檢測及響應(yīng)等。而在大多數(shù)業(yè)務(wù)場景下，API在對(duì)外提供服務(wù)時(shí)并沒有部署良好的防護(hù)機(jī)制。究其原因，一方面是由于業(yè)務(wù)的快速迭代，安全負(fù)責(zé)人無法完整掌握API的使用情況、業(yè)務(wù)與安全存在割裂；另一方面是對(duì)現(xiàn)有API進(jìn)行安全改造的成本巨大。未來，API在數(shù)字化轉(zhuǎn)型中扮演的角色將愈發(fā)重要，因此亟需有效的解決方案對(duì)開放共享的數(shù)據(jù)核心資產(chǎn)提供保護(hù)。

然而，對(duì)于API的安全管控也并非易事。難題在于，盡管大多數(shù)安全從業(yè)者會(huì)建議隱藏資源、減少暴露面和攻擊面，但業(yè)務(wù)上成功部署的API卻傾向使資源更加開放和可用。并且隨著云原生時(shí)代的到來，微服務(wù)核心架構(gòu)下，API成為服務(wù)交付的必選，API遭遇的安全困局實(shí)際上也是現(xiàn)代網(wǎng)絡(luò)安全面臨的一個(gè)共性問題，對(duì)安全團(tuán)隊(duì)而言，既不能因?yàn)楸Ｗo(hù)業(yè)務(wù)而讓系統(tǒng)變得封閉，又要將API風(fēng)險(xiǎn)敞口保持在可控范圍之內(nèi)，這就需要制定平衡業(yè)務(wù)與安全的API風(fēng)險(xiǎn)管理策略，并搭建功能完善、具備彈性的安全管控平臺(tái)。

凡事預(yù)則立不預(yù)則廢 安全管控平臺(tái)將風(fēng)險(xiǎn)化解于無形

API風(fēng)險(xiǎn)管控雖不易，卻仍有跡可循。

國內(nèi)創(chuàng)新安全廠商瑞數(shù)信息認(rèn)為，API管控應(yīng)做到內(nèi)化于心、外化于行。在內(nèi)部做到心中有數(shù)，在外部做到知行合一。

API的安全防護(hù)離不開業(yè)務(wù)層面上對(duì)API的開發(fā)管理。一般來說，API的安全開發(fā)需要開發(fā)人員具備API安全開發(fā)的知識(shí)和意識(shí)，并遵循安全開發(fā)規(guī)范對(duì)API進(jìn)行開發(fā)和部署。例如使用基礎(chǔ)的用戶名密碼的方式進(jìn)行身份驗(yàn)證，或者通過API密鑰即令牌字符串進(jìn)行安全防護(hù)，或者基于OAuth框架進(jìn)行用戶身份信息的驗(yàn)證以及基本信息的校驗(yàn)。

不僅在開發(fā)層面，事實(shí)上，對(duì)API的安全管控是一件從開發(fā)、應(yīng)用，到運(yùn)營、維護(hù)，整個(gè)階段都要參與和防護(hù)的過程，這一點(diǎn)和傳統(tǒng)的網(wǎng)絡(luò)防護(hù)有所區(qū)別又有相似之處。在此背景下，瑞數(shù)信息創(chuàng)新地推出API安全管控平臺(tái)——API BotDefender，致力于幫助企業(yè)做到對(duì)API安全風(fēng)險(xiǎn)的可知和可控。

有別于很多單純從API安全網(wǎng)關(guān)角度切入的安全廠商，瑞數(shù)信息在技術(shù)路線上將攻擊的防御能力與AI智能的數(shù)據(jù)分析能力進(jìn)行全面融合，由此推出具有API感知、發(fā)現(xiàn)、監(jiān)控、保護(hù)能力的API BotDefender，是一種結(jié)合了以上兩種API安全方案優(yōu)勢(shì)的創(chuàng)新方案。該平臺(tái)包括API資產(chǎn)管理、攻擊防護(hù)、敏感數(shù)據(jù)管控和訪問行為管控四大模塊，為API接口提供完整的安全管控方案。

在資產(chǎn)管理模塊中，實(shí)現(xiàn)對(duì)API資產(chǎn)的統(tǒng)一管理。API資產(chǎn)管理基于數(shù)據(jù)建模自動(dòng)發(fā)現(xiàn)被保護(hù)站點(diǎn)的API資產(chǎn)，對(duì)API資產(chǎn)進(jìn)行梳理、分析和上下線，幫助客戶實(shí)現(xiàn)API資產(chǎn)的生命周期管理。

攻擊防護(hù)模塊綜合利用智能規(guī)則匹配及行為分析的智能威脅檢測引擎，持續(xù)監(jiān)控并分析流量行為，有效檢測威脅攻擊。智能威脅檢測引擎在用戶與應(yīng)用程序交互的過程中收集數(shù)據(jù)，并利用統(tǒng)計(jì)模型來確定HTTP請(qǐng)求的異常。一旦確定異常情況，智能引擎就會(huì)使用機(jī)器學(xué)習(xí)獲得的多種威脅模型來確定異常攻擊。

敏感數(shù)據(jù)管控模塊會(huì)對(duì)API傳輸中的敏感數(shù)據(jù)進(jìn)行識(shí)別，針對(duì)敏感數(shù)據(jù)可以進(jìn)行脫敏處理或者實(shí)時(shí)攔截，防止敏感數(shù)據(jù)泄露。

訪問行為管控模塊將對(duì)API接口的訪問行為進(jìn)行分析，通過多維度建立API訪問基線、API威脅建模，發(fā)現(xiàn)異常訪問行為，避免惡意訪問和接口濫用造成的業(yè)務(wù)損失。

完備的模塊功能讓API BotDefender能夠?qū)崿F(xiàn)從API接入的客戶端到API服務(wù)器端的全程式API安全威脅防護(hù)。API BotDefender不僅可以快速自動(dòng)地發(fā)現(xiàn)API，并且針對(duì)發(fā)現(xiàn)的API給出明確的認(rèn)定，還可以顯示出清晰的API列表，對(duì)API接口的訪問情況一目了然。同時(shí)，通過精準(zhǔn)地構(gòu)建API畫像，可以快速預(yù)覽各個(gè)業(yè)務(wù)的API情況，包括使用情況、異常情況、訪問來源等，并且可根據(jù)行為分析的結(jié)果或指定條件，進(jìn)行動(dòng)態(tài)響應(yīng)防護(hù)，提升通過逆向探測或機(jī)器學(xué)習(xí)分析等攻擊手段的難度。

一個(gè)優(yōu)秀的安全管理平臺(tái)不僅要與業(yè)務(wù)有良好的契合度，具備強(qiáng)大的安全管控能力，還要容易部署和運(yùn)維。在部署方式上，API BotDefender非常靈活，支持串聯(lián)及旁路鏡像的方式，以及軟件、硬件和云等多種模式，可以大大降低部署、管理和維護(hù)成本。同時(shí)，占用資源少，不影響服務(wù)器的正常運(yùn)行，可以實(shí)現(xiàn)應(yīng)用無感知部署。

如今，API安全已經(jīng)成為企業(yè)時(shí)刻需要關(guān)注的安全問題，缺乏良好防護(hù)策略的API服務(wù)，不僅會(huì)對(duì)用戶的使用體驗(yàn)以及個(gè)人隱私帶來威脅，而且還會(huì)使企業(yè)面臨未知的安全風(fēng)險(xiǎn)。為了提高API安全性，開發(fā)人員需要在設(shè)計(jì)和開發(fā)階段，對(duì)API的安全性進(jìn)行良好的構(gòu)建和設(shè)計(jì)。對(duì)于管理人員來說，則可以使用API安全管控平臺(tái)這樣的安全工具，從而可以更好地對(duì)未知風(fēng)險(xiǎn)進(jìn)行檢測和防護(hù)，做到未雨綢繆、防患于未然。