2021世界信息安全大会:每一个API都可能成为攻击入口
近年来,在国家政策的引导、互联网技术的更新迭代和数字经济行业的努力下,人工智能、5G、云计算等为代表的数字基础设施不断建设完善,我国数字经济发展迅速。但同时不容忽视的是,数据安全也成为极大的隐患,如何平衡好数据开放与数据保护成为数字经济健康发展的关键。
2021年12月14日,永安在线COO邵付东受邀出席以“数字经济 安全为钥”为主题的2021成都﹒世界信息安全大会,并发表主题为《基于情报的API数据安全防护体系》的演讲。他表示,万物互联的数字时代背后是成千上万的API在不断赋能,API承载着核心的业务逻辑和敏感数据,针对其的攻击越来越多,为API构建安全防护体系护卫数据安全势在必行。
(永安在线COO邵付东)
邵付东提到,当前API安全管理所面临的挑战主要来自于三个方面。
一是资产未知。很多企业并不清楚自己拥有多少API,通常只会关注到在频繁使用的业务API,一些老旧API和加密API容易被忽略,也并不能保证每个API都会上网关,就是这些被遗忘的影子API和僵尸 API 会带来重大的未知风险。
二是攻击未知。随着黑产各类攻击资源高度的模块化和市场化,攻击通常能够伪装成符合逻辑的合法访问请求,让甲方安全团队更难以识别出风险流量,这也是众多安全能力较强的大型互联网公司还会遭遇因API导致的数据泄露事件的根因所在。
三是阻断未知。由于黑产的攻击手法越趋隐蔽化和变化极快,造成企业难以知悉攻击特征是什么,并且在如何分析攻击特征、如何应用攻击特征、是否能够对攻击事件阻断等方面存在困难。
邵付东强调道:“现有的包括WAF、API网关等产品在内安全解决方案虽然可以解决部分API安全问题,但在API安全管理方面有着明显不足。”
比如WAF在企业的应用中,不会是所有的API流量都会经过WAF,尤其是东西向流量,而WAF很多时候是基于每一条流量去做出判断,但无法解决API逻辑攻击问题。至于API网关其授权和限额等方法都无法解决海量小号、秒拨代理IP低频攻击等问题。
此外,很多现有安全产品对API风险感知的技术路径往往是基于行为特征来进行风险审计,难以支撑风险发现的全面性。再者,这种方式也会导致误判率高,产生大量无效告警,安全团队需要花费极大的运营成本去验证风险的真实性,产品不可用。企业迫切需要一套可预防、可解释、可溯源的API安全管理体系。
基于情报的API安全防护体系
对此,永安在线提出API安全管理的更优解:基于情报的API安全防护体系,并推出永安在线API安全管控平台。帮助企业有效实现对API资产的全面盘点、防止敏感数据暴露、预防发现阻断API遭受攻击、提升风险事件的响应速度以及数据合规自查。
邵付东在演讲中谈到,我们通过旁路流量分析,能够以持续动态的方式去梳理API资产,做到只要API一上线或开始服务就能够被快速梳理出来,同时还可以掌握到哪些敏感数据是在流动的。而基于情报所能赋予的能力,更是可以及时全面感知企业外部API风险,风险发现准确率达95%,同时基于精准预警输出的攻击者IOC情报,可以联动WAF或风控系统等快速处置攻击风险、阻断风险。而这些特点则进一步形成了永安在线API安全管控平台在API资产梳理、敏感数据管理、API风险感知、API安全缺陷评估等多方面的能力优势。
目前,永安在线API安全管控平台已广泛应用于数据安全治理、护网行动支撑、新上线API安全测试、数据泄露事件追溯等场景。帮助金融、教育、企业服务、电商等领域的众多企业实现API全生命周期的安全防护,深度保障API安全运行,助力企业业务获得平稳、高效增长。
关于永安在线
永安在线(Ever.Security)以黑灰产情报能力建设和攻防技术为核心,为企业提供业务反欺诈和API数据安全解决方案。通过业务风险监控体系、风险情报数据能力和丰富的黑产攻防经验,帮助企业解决账号安全、营销反欺诈、流量欺诈、接口安全等问题,为企业风控提升攻防效率,保障企业在线业务健康发展。
目前已合作腾讯、阿里巴巴、字节跳动、华为、百度、京东、招商银行、华泰证券、滴滴、拼多多、爱奇艺等300多家企业客户。
