谭晓生专访永安在线: API安全防护将不再是新词
当人们的生活越来越数字化,数据不再是以数据库和文件共享的方式存在,而是通过API来进行互动;
当企业云上的通讯和业务都要靠API来实现,
你会发现留给API安全防护产品的发展时间其实并没有那么多了。
永安在线的鬼谷实验室在2022年Q3的《API安全研究报告》中显示,全网Q3每月被攻击的API数量超过15万,涉及游戏、金融、政务、电商、数字藏品等多个行业。
永安在线认为,API已经成为组织的基础资产之一,守护API的安全、防止API攻击已经被客户明确提出需求,且符合数字化的发展规律。近日,就API安全的话题,赛博英杰创始人谭晓生和永安在线COO邵付东,进行了一次深度交流。
谭晓生:永安在线本身是做威胁情报起家的,现在进入到API安全领域是出于什么样的考虑?是在威胁情报这个领域发展遇到瓶颈了?还是看到了新的机会?
邵付东:永安在线选择做API安全的过程还是蛮有故事的,总结起来主要有三个方面的考虑:
首先是基于客户提出的需求。一些使用我们情报服务的客户,特别是互联网和金融行业的客户反馈:攻击者为了获利,对不同的API来进行数据爬取或者业务攻击,如账号撞库、扫号、营销作弊等。API数量越多,攻击入口就越多,攻击面也越大。 用户为了提升攻防对抗时发现和响应的效率,主动提出期望我们可以提供一款产品:基于情报来及时发现有哪些API被攻击、攻击者的攻击手法等,帮助客户做风控监测,从而能够及时地阻断攻击。
第二方面,我们自己也认为API是未来的趋势。客户提出需求之后,我们也要看这个东西做起来是不是有价值。我们看到数字化和云原生是技术发展的趋势,数据从文件、数据库的共享变为了通过API来进行互动;云原生、微服务架构的发展让业务逻辑更加原子化,企业为了架构解藕和弹性扩容,服务之间通过API来完成通讯,企业的业务大量通过API来完成,API的数量会爆发式增长。API在新时代已经成为企业的一个新的基础设施,关于API安全的需求一定会越来越强烈。
第三方面原因是永安在线在API风险检测上有比较大的优势。我们的情报包含攻击者进行攻击需要使用到的IP、账号、工具、API访问序列、获利交易的细节等,在这方面长期的技术积累、数据积累、经验积累对于做好API风险检测是有很大的优势。
综合以上三点,客户有市场需求、技术发展趋势、再结合我们自身情报的优势,我们才开始考虑并决定做API安全这个事情。
谭晓生:您刚才正好提到了API安全的三个典型的应用场景,第一个是用来解决云原生时代的安全问题;第二是解决数据安全问题;第三就是通过API渗透系统的典型攻防场景,听起来永安在线这三个主要场景都覆盖了,那么在这中间你们有重点的区分吗?
邵付东:我们产品的服务场景并不是我们自己来选的,而是基于我们客户需求的驱动。
客户三个场景都有需求,这方面我们并不想顾此失彼。当然不同类型的客户的需求和关注优先级是不一样的,比如金融和互联网的侧重点就很不一样。
从目前接触的客户来看,对API流动的数据安全场景是一个最为普遍的需求,主要还是因为合规和法律的驱动;
其次攻防场景的需求也比较多,特别是每年攻防演练的过程中与漏洞相关的场景,如文件上传漏洞、OA系统任意用户登录等;
再次是云原生的需求,很多互联网客户基本都上云了,围绕着云原生研发的各个环,客户希望我们能够做API上的一些安全治理。所以说三个场景其实我们的产品都会涉及,我们的客户都有相对应的需求,但从客户需求的优先级来说,是有一些区别的。
谭晓生:以你一个公司的实力,足以把三个地方都做得很深吗? 如果永安在线三个场景都在做,之前的威胁情报业务也在做,那么在API解决数据安全问题的能力上,你们能够PK过专门做API数据安全的友商吗?
邵付东:这是个好问题。数据安全概念还是很大的,从数据的分级分类到静态环境保护,整个链路的安全是很长的。一些专门做数据安全的企业他们的视角是围绕数据分级分类的流动拉了一条线,而我们的视角是把API当做一个资产来关注,从API的生产到测试上线,到整个业务运营的过程,再到下线,整个环节基于API的视角会有更全面性的安全考虑。
所以大家的切入点和视角是不一样的,围绕数据库做数据分级分类是一个较为静态的视角,而围绕API资产上流动数据的安全性来看是一个动态攻防的视角。从客户的角度来说,数据分级分类的工作主要是数据合规和数据治理部门来负责的,但API安全、流动数据的安全性更多的是网络安全部门来负责。
谭晓生:Ok那么能不能给大家介绍一下永安在线的API安全管控方案的具体情况?
邵付东:我们的产品也有个发展的故事。
大概在2020年的时候,我们就推出一款通过串行的方式把API入口管理好的产品,但在跟客户沟通的过程中,很多客户反馈,“你要做一个串行的节点,会不会对我们业务的负面影响太大了?万一你出了事儿,我们整个业务都会有影响啊。”
当时就发现这样的方案交付成本会很高,于是后来我们转到从旁路流量来进行分析的方案,这样客户接受度更高。
经过实践验证,目前永安在线基于情报技术的API安全管控平台通过旁路流量分析的方式,来帮助客户解决三大问题:
第一是资产梳理问题。自动化梳理API及API上流动的敏感数据,对API和敏感数据进行分级分类。
此外,我们还会对API关联的账号资产进行梳理,从账号的使用时间、数据获取行为、访问行为、登录行为等多个维度进行分析,帮助客户应对账号共用、账号借用、账号盗用、内部人员数据访问等各种类型的账号风险。这也是我们产品的优势之一。
第二是API缺陷评估问题。在资产可见的基础上,我们还会对API的一些脆弱性,比如未授权访问、越权访问、脱敏不规范、弱密码、明文传输等风险点进行持续检测。我们的代理蜜罐情报会持续跟踪攻击者如何利用新型API漏洞来进行攻击,通过对新型攻击面和攻击特征的分析,持续迭代优化我们的API漏洞检测引擎,确保我们能及时发现API各种可能的风险点。
第三是API攻击感知问题。在以上防范的基础上,最后基于我们的情报,如攻击者使用的IP、账号、工具等资源来检测数据爬取、账号撞库、营销作弊、账号盗用、内鬼盗取数据、账号违规共享等风险事件。
在性能指标上,因为是对旁路流量进行分析,同时是对网络的七层的API的流量进行还原和分析,会考虑两个方面的核心能力:一方面是旁路流量的带宽,一个方面是API请求的每秒并发量,目前我们单台顶配的服务器能支持到40G的带宽,API的每秒并发量在1.5W~2W之间。
同时,针对存在混合云、多数据中心等业务场景,有较大的流量以及较高的API每秒并发量的客户,我们可提供分布式部署方案,由于各分析节点采用基于情报的风险判定引擎,可直接根据情报信息完成风险判定,不会因流量分布在多个节点而导致风险漏判或误判。
谭晓生:能不能介绍一下你们现在的典型客户,他们是在怎么样用你们的产品的?用的效果怎么样?
邵付东:我们目前互联网和金融类的客户是比较多的。我可以用一个金融行业客户的例子来介绍我们产品带给客户的价值。
我们数据泄漏情报的监测会对TG群、暗网等渠道上的黑产私域数据交易情报进行监测,我们发现一家客户每天都有大量的含有四要素的用户敏感数据在被黑产进行交易,经过我们人工对四要素进行验证,发现确实是客户的真实数据。
我们把情报信息同步给到客户,客户才了解到近期自己的用户投诉上升是因为有数据泄漏了,但客户的整体安全措施做的比较到位的,所以他们想不到数据的泄漏点。于是部署了我们的API安全管控平台的产品来进行分析,发现攻击者其实是使用十几万的动态IP资源,通过一个未授权的用户详情API来低频、慢速地爬取数据,因为爬取流量和正常的访问是一样的,所以攻击没有被WAF检测到!同时攻击者每个IP一天只是访问这个用户详情API十几次,现有的基于IP的规则策略也没办法检测攻击。
后续我们同客户一起分析,发现这个API是分公司的团队开发的,没有在总部安全团队的视野范围内,也就没有经过安全测试就上线了,导致数据泄漏的发生。经过我们永安在线的平台对流量的分析,发现了客户共有6W多个API,远超客户心里认为的2W个API 资产数量!此外,也帮助客户发现了使用到的一些开源组件如SpringBoot Acuator、XXL-JOB,没有开启鉴权配置,攻击者可以通过这些组件获取数据库用户名、密码、进行远程命令执行
在这个案例中,我们的平台在客户那里上线了两个月,发现了多起使用动态IP资源发起的数据爬取、营销作弊、扫号、违规交易的攻击,客户反馈,我们的管控平台发现的东西,已经在他们的认知之外了。
谭晓生:以情报为基础做API安全有什么优势和亮点?用户能从你们的方案中体会到哪些实际的效果?
邵付东:是的,网络安全产品与方案的所谓优势和亮点一定是要从客户视角来看的,客户对API安全产品的核心需求点是风险的发现能力,相比其他解决方案,从客户的视角来看,我们的方案会有两个方面的优势:
第一,API因为自身具备开放性,且API资产的数量很大,攻击流量和业务流量从内容上没什么区别,所以也才会有多家知名的大型企业出现大量的数据被攻击者通过API爬取的案例。传统的检测方法在保障攻击事件检出的全面性和准确性上存在不足,我们的情报包含了攻击者使用的攻击资源和攻击手法,如攻击IP、账号、攻击API的序列,从情报的视角能够全面和准确地检测出来API流量中的攻击流量。
第二,传统基于规则或者单纯基于机器学习的风险检测方案,对于混合云、大流量、大并发场景,需要全部流量汇聚到一个集中的地方来进行分析难以实现实时、精准的风险判定;而我们基于攻击源情报来进行攻击风险的检测不需要全量流量,所以针对混合云,大流量、大并发场景,我们提供的分布式方案可以很好的解决风险检测的及时性、全面性和准确性的问题。
谭晓生:你如何看待API市场的未来3-5年的短期发展和长期发展。
邵付东:2020年—2021年是API安全发展的种子阶段,2022年进入萌芽阶段,供给侧增加,但需求侧还是比较弱,尝鲜者居多。我们认为未来三年,API安全市场一定是进入上升成长阶段,需求侧从早期的尝鲜到大范围的普及。
长期来看,API的开放和互动的连接性会更加放大,随着客户侧需求的演化,供给侧会出现同WAF、NDR、零信任类产品的整合情况,同时在API全生命周期上会出现新的整合的方案来满足开放连接性的需要。
对于我们永安在线来说,情报是我们的核心能力内核,API安全业务是能力产品化和服务化的外显,我们的定位是逐步围绕API从生产、测试、上线到下线全生命周期构建安全保护的产品和服务。
我们的目标是,“安全每一个API,保证企业数字化安全”。
