API已成為企業(yè)內(nèi)部數(shù)據(jù)泄露的罪魁禍首
一、引言
大部分企業(yè)的數(shù)據(jù)泄露都來自于內(nèi)鬼,而通過API竊取企業(yè)內(nèi)部數(shù)據(jù)的比例越來越高。最近和一些甲方企業(yè)信息安全部門溝通,發(fā)現(xiàn)企業(yè)一些內(nèi)部系統(tǒng)API相互調(diào)用并沒有采取認證、鑒權(quán)等安全措施,企業(yè)內(nèi)部人員非常方便通過API接口竊取數(shù)據(jù)進行牟利。在他們安全觀點里面,認為只需要管好數(shù)據(jù)庫就行了,部署數(shù)據(jù)庫審計、保壘機等相關(guān)安全產(chǎn)品就行了,但是隨著業(yè)務系統(tǒng)復雜化和技術(shù)更迭,實際上相應的暴露面也會增加,因此安全防護手段也必須與時俱進。如果要做好企業(yè)數(shù)據(jù)安全,API安全問題也不能忽視。
二、什么是API?
API是“應用程序編程接口”(Application Programming Interface)的縮寫,它是一套規(guī)則、協(xié)議和工具,用于構(gòu)建軟件應用。 API定義了不同軟件組件之間如何交互,允許開發(fā)者更容易地使用某些功能,而無需了解其內(nèi)部實現(xiàn)細節(jié)。
API的作用和重要性在于它提供了一種標準化的方式,使得不同的軟件或系統(tǒng)之間可以進行數(shù)據(jù)和指令的傳輸,從而實現(xiàn)集成和共享。通過API,應用程序可以相互通信,執(zhí)行特定的任務,而不需要深入了解對方的內(nèi)部工作機制。這使得軟件開發(fā)更加高效,降低了不同系統(tǒng)之間的耦合度,提高了系統(tǒng)的可擴展性和可維護性。
了解API安全,必須要了解API和URL,這兩者容易弄混淆。URL是統(tǒng)一資源定位符,是對資源的位置和訪問方法的一種簡單表示,用于訪問特定的網(wǎng)頁、圖像或文件。API則包括請求地址(URL)、請求方法、請求參數(shù)、響應結(jié)果、時間戳、密鑰、Hash算法和API網(wǎng)關(guān)等多個部分。
三、API資產(chǎn)是什么?
API也是網(wǎng)絡空間資產(chǎn)的一部分,并不是只有傳統(tǒng)的終端、網(wǎng)絡設備、安全設備、容器等,隨著業(yè)務場景、網(wǎng)絡架構(gòu)、新興技術(shù)的發(fā)展,網(wǎng)絡空間資產(chǎn)類別會越來越豐富,越來越細粒度,只有把網(wǎng)絡空間的資產(chǎn)摸清摸細,才能更好地保護網(wǎng)絡空間安全。API資產(chǎn)除了每條基礎信息外,還應當包括部署IP、API訪問源、通信次數(shù)、功能標簽、責任人等,刻畫得越細致就越能弄清API資產(chǎn)的風險,必須做好API資產(chǎn)的畫像。
API有很多類型,按照不同協(xié)議和風格劃分,包括RESTful API、GraphQL API、SOAP API、gRPC API等,其中RESTful API應用得最為廣泛。
四、如何識別API資產(chǎn)?
高效和精準識別API資產(chǎn)非常重要,識別API資產(chǎn)的方法很多,但是都不能完全解決相應問題,必須依靠多種識別方法共同作用才能達到非常好的效果。下面列舉一些識別方法。
綜合來說,如果要做好API資產(chǎn)識別,必須結(jié)合多種方法和技術(shù),結(jié)合不同的應用場景,在不影響業(yè)務情況下,做好API資產(chǎn)的識別,在現(xiàn)實情況中,還是會存在將URL識別為API的情況,也可以結(jié)合機器學習等相關(guān)技術(shù)作為輔助來做API資產(chǎn)識別。
五、如何保護API安全?
業(yè)務系統(tǒng)非常多的企業(yè),API安全至關(guān)重要,很多情況下存在監(jiān)管的真空地帶,研發(fā)人員為了省事方便,并沒有嚴格遵循安全原則。以下列舉一些API安全保護的方法。
1.認證和授權(quán)
使用Oauth2.0、JWT等標準協(xié)議來驗證用戶身份,限制資源訪問,做好API密鑰管理和訪問控制策略。
2.加密和脫敏
使用 HTTPS來保護數(shù)據(jù)在傳輸過程中的安全,防止中間人攻擊,使用AES、SM4等加密方法對數(shù)據(jù)庫中敏感信息進行加密,或使用動態(tài)脫敏方法對數(shù)據(jù)進行脫敏。
3.API監(jiān)測和分析
將API進行集中管理,詳細記錄API接口調(diào)用日志,基于UEBA技術(shù),當發(fā)現(xiàn)異常調(diào)用時進行告警和處置。
4.加強代碼審計和安全驗證
企業(yè)信息安全部門應對業(yè)務系統(tǒng)的代碼進行專門審計,加強API的統(tǒng)一管理,持續(xù)針對API進行安全驗證。
保護API安全的方法很多,最重要的一點是從管理做起、從安全開發(fā)做起,不能忽視API導致數(shù)據(jù)泄露的現(xiàn)象和問題。
六、總結(jié)
在企業(yè)內(nèi)部通過API竊取公司內(nèi)部數(shù)據(jù)的情況還是很多的,大部分企業(yè)默認內(nèi)部是安全的,沒有認識到即使都是內(nèi)部系統(tǒng)也應當注重API安全,通過API竊取數(shù)據(jù)通常難以發(fā)現(xiàn)和溯源,如果本身沒有日志記錄,追溯更是難上加難,正好成為企業(yè)內(nèi)鬼可利用的弱點。
