邓欣:API安全治理只是开始 未来服务将覆盖API全生命周期管理
安全419关注到,近期永安在线的动作频频,先是官宣完成了5500万融资,随后于12月3日在深圳召开了首届API安全管理论坛,通过这些动作大家也能明显看出,永安在线的战略升级计划已经全面开启,且方向清晰——API安全。
API安全缘何这两年成为业内出现频次极高的名词之一?与此同时,永安在线的战略规划会选择以API安全为重点?借着这次论坛的召开,我们于会后就这些问题与永安在线的CTO邓欣展开了沟通,看看以他们的视角是如何看待的。
永安在线CTO 邓欣
//邓欣简介
INTRDUCE
全球黑客大赛冠军,前腾讯安全技术专家。2007年南开大学硕士毕业,2018年正式加入永安在线,专注于研究当前最前沿的网络安全攻防技术,包括漏洞挖掘和利用、APT攻击挖掘复杂病毒木马打击、黑灰产攻防对抗等。拥有大规模黑客攻击和重大安全突发事件应急处置能力和经验。
API是数字经济发展基础之一
已有的安全产品难以应对API安全问题
“API安全其实并不是近两年才提出的一个新理念或者一个新领域。”邓欣强调道。谈及为何这段时间会成为业内关注的焦点领域之一,他从三个方面为我们进行了阐述:
一,API在数字经济发展中的重要性愈发凸显
随着云计算、微服务等技术的持续发展,API被越来越多的企业广泛使用,承载其核心的业务逻辑和敏感数据,在当前极为丰富的数字生活背后,其实就是成千上万个API在工作。比如我们通过互联网与家人、好友或者陌生人互动,会有注册、登录等这些与账号相关的API接口;再比如我们在网上购物支付时,会有与交易、支付相关的API接口等等。这些API接口一旦被攻击,将会对企业及其所服务的客户造成巨大危害。同时,随着开放银行、开放保险等各行各业开放生态的持续发展,API作为其中的关键基础设施之一,API安全必然会持续受到高度的关注
二,API被攻击导致的安全问题越来越多且越来越严重
从实际情况看,API攻击的案例越来越多。特别是过去几年中,一些重大的数据泄露事件的背后,其根源就是源于API被攻击。邓欣告诉我们,像Facebook、Linkedin这样的互联网巨头,其网络安全基础建设理应比大部分企业做得更好,但是近段时间也都曝出因API被攻击导致了严重的数据泄露事件。再如印度、加拿大等国家在疫情期间也均出现了核酸检测结果等疫情数据泄露的情况,依据事件资料显示,也是内鬼利用内部API接口窃取数据所导致。
随着《数据安全法》《个人信息保护法》等法律法规在2021年的施行,无论是政府还是普通大众,对于数据和隐私越来越重视,而作为数据泄露的主要来源之一,API安全自然会被业界广泛关注。
三,当前已有的安全产品解决不了API安全的问题
OWASP在2019年就提出了API Secuirty Top10,里面涉及到包括授权、认证、数据暴露等易导致API被攻击的问题,无论是API网关、WAF、漏扫等已有的产品,都不能很好的覆盖和解决,因此围绕API的安全所展开的话题也开始被业界所广泛关注
“永安在线自成立以来,便一直聚焦于业务风险情报相关底层能力的构建和积累,现在回过头看,在业务安全这个赛道上,这些能力帮助客户很好的解决了在业务场景上所遇到的问题,包括账号安全场景、营销反作弊场景等。”邓欣介绍道,“在为客户服务的过程中,通过彼此之间的沟通和我们自身的思考,发现他们通过我们输出的能力去解决的业务安全问题,如果基础安全的视角去看,其中有很多都是包括哪些API接口遭到攻击、攻击的特征是什么、攻击源在哪里等类型的API安全问题。”
通过和他的交流,我们不难总结出,永安在线选择将API安全作为自己战略升级的方向主要源于两点——客户需求和自身安全能力所及。
邓欣认为,在API被广泛使用的今天,业务层面的安全,其底层逻辑就是API的安全。依靠永安在线的产品和能力,完全可以从解决业务安全若干个场景下的问题,进一步扩展到解决整个API安全层面的问题。
“选择API安全这个赛道并不是刻意为之,而是自身能力所及之后,一个顺理成章的事情。”邓欣谈道。
高精度风险感知
——基于情报做API安全的最大优势
众所周知,永安在线此前长期专注于业务安全情报领域,如前文所述,既然此次战略升级是立足于自身能力所及,那么对于自身而言,业务安全情报领域的能力积累对于此次战略升级的支撑作用体现在哪里呢?
关于这个问题,邓欣表示,这应该首先从企业面临的API安全治理的难点入手,据他们观察及总结后,主要体现在四点,分别是:
1、API资产管理。(我不知道我有哪些API)
2、API风险感知。(我不知道哪些API被攻击了)
3、API风险阻断。(我不知道如何区分正常的API流量和攻击流量)
4、API风险溯源。(我不知道如何对攻击进行溯源)
在这四点之中,基于情报的能力可以很好的解决2、3、4这三大难点。邓欣介绍到,首先,永安在线会通过自身情报的能力去捕获到攻击的流量、攻击中使用的自动化工具、攻击中使用的资源(IP、账号、手机号等),这些原始情报经过永安在线情报分析系统的自动化分析,会提取出攻击目标,也就是哪些API被攻击了。同时也会提取出攻击IOC,用于识别和阻断恶意的API流量,还会聚类攻击源提取出攻击团伙,从而便于对攻击进行溯源。
“如果没有或者缺少情报能力,那么这些难点毫无疑问会很难有效的解决。”邓欣以API风险感知为例阐述道,目前市面上主要针对这一问题的解决方案普遍是专家经验结合机器学习,比如某个API的流量从某个特征维度上出现了异常,就认为是出现了风险。关于这一现状,他明确指出这之中存在着两方面的问题:
一是漏报,有经验的攻击者,其攻击流量往往隐藏在海量的正常业务请求当中,是难以被发现的,比如利用代理IP/秒拨等资源进行的慢速撞库等;
二是误报,在线上业务高度繁荣且互联网用户基数庞大的今天,业务侧出现一些大的波动,往往并不是攻击,而只是业务的正常波动,比如某个平台发起了一场规模庞大且优惠力度极大的营销活动,必然会带来注册API接口的调用激增。
“结合情报能力,一方面可以直接做更加精准的风险感知,另一方面也可以更好的丰富我们的专家经验,以及更好地训练我们的风险感知模型。”
谈及具体应用,邓欣还是以我们所经常使用的分类——外部风险和内部风险两方面去分别进行了阐述。
首先是外部风险方面,API已经成为攻击者目前所热衷的目标之一是毋庸置疑的,攻击者会采用包括扫号、撞库、爬取数据等方式对业务API接口发起攻击。永安在线的API安全解决方案在应对此类风险时,除了可以做到对攻击的感知和阻断之外,还可以做到对攻击的溯源。“在今年的HVV期间,我们曾帮助客户发现了一次外部黑客攻击,在该事件中,我们依据从攻击流量中提取的特征,经过我们的安全管控平台分析后,发现与我们风险情报监控到的一款自动化攻击工具提出的特征高度一致,于是我们通过这款工具进一步对攻击者进行了溯源,并最终定位到了攻击者。”
其次是内部风险方面。“根据我们情报监控到的数据泄露事件,其中很多均为内鬼通过这种内部API接口泄露出去的。普遍来看,内部系统往往不会有很强大的安全策略,这当然包括内部的API,因此这给了内鬼可乘之机。永安在线目前所提出的解决方案,会从内部账号的维度对内部API的调用进行风险审计,从而帮助客户发现可疑账号。”
梯队建设、加强能力、建立生态
——融资后的永安在线“有点忙”
在2021年12月初,永安在线正式宣布了自己完成5500万Pre-A轮融资的消息,那么随着战略升级计划的启动,未来准备如何规划呢?
“从技术、产品的角度看,规划已经有了,但这两者都离不开人,所以我们未来一定会加码人才梯队的建设。”邓欣强调道。
这个答案并未出乎我们的意料,早在2021年10月我们采访其创始人、CEO老毕时,他非常强调的一点就是——永安在线是一家以核心团队的能力去构建企业底层能力的企业,因此他们自成立以来一直非常重视团队建设,通过企业资料可以看到,团队中多数核心成员都是来自于腾讯、金山等业务安全领域的专家。
邓欣介绍,具体到API安全方面,他们之所以信心十足,除了重要的能力积累之外,人才也是一大因素。此前发布的API安全管控平台的项目负责人——王健,是一位前腾讯安全云大数据挖掘及人工智能领域的资深专家,曾深入实操过腾讯安全数据中台建设中的技术架构和腾讯安全大数据挖掘及安全领域应用业务开拓等项目。其加入永安在线一年有余,以他为核心组建了一支稳定过硬的数据驱动型产品研发团队。
在技术方向上,邓欣表示,永安在线将会以API安全管理作为切入点,快速的在API资产梳理、API敏感数据管理、API缺陷识别以及API风险识别等几方面建立起能力上的优势,这也是企业的立身之本,“我们未来会在API安全管理的基础上逐步拓展到API全生命周期的管理,覆盖API从设计、开发、测试、部署、运营,直到API的下线,给客户提供包含安全在内的一整套产品和服务。”
同时,逐步建立API安全生态合作也是永安在线的规划之一,据他介绍,目前他们已同部分云厂商以及安全厂商建立了良好的合作意向,未来会以产品联合、合作开发等方式去为广大企业客户提供能力更强、服务更完整、体验更好的解决方案。
“在数字化转型的浪潮之下,我们希望未来能和整个行业一起努力,为推动我国API经济的繁荣保驾护航。”
