API通信——现代应用架构的“血液”
在现代的应用架构中,我们每一次打开网页,其中渲染的内容均由后端不同服务提供,这些服务之间通过API进行交互通信。举个例子:我们打开淘宝浏览商品,在前端我们只是看到一个商品页面,但是背后有无数次API调用,通过这些API前端可以获取到商品的价格、简介、商家、图片等信息。除此之外,后端的智能推荐算法还会迅速查找你的购买记录、支付行为、购物足迹等等数据进行商品推荐,为用户打造出千人千面的搜索结果,这些高效率的算法均由微服务架构支撑,通过API进行交互。
目前,随着IT基础设施的云化与微服务化,携带大量敏感数据的API通信已成为流经所有业务系统的“血液”,其安全风险与数据风险急需解决。
API数据泄露事件频发
- 2020年3月,有用户发现38亿条微博用户信息在暗网出售,其中1.72亿有账号基本信息。针对本次数据泄露事件微博相关负责人回应:“泄漏的手机号是 19 年通过 通讯录上传接口 被暴力匹配的,其余公开的信息都是网上抓来的。”
- 2021年4月,Facebook 5亿用户数据在暗网公开售卖,其中包括用户的昵称,邮箱,电话,家庭住址信息。Facebook回应称报道中的数据泄露事件与外部黑客数据窃取有关,起因为2019年 在线业务API 一个功能遭到误用,导致信息出现泄露,影响用户约3亿。
- 2021年6月,某电商企业11亿条用户信息泄露,调查结果显示有黑产通过 订单评价接口 绕过平台风控批量爬取加密数据,爬取内容包括买家用户昵称,用户评价内容,昵称等敏感字段等信息。
API安全建设难点
资产理不清
- API资产有哪些,风险如何
- 数据总线?API网关?哪些业务没接入统一管控
- 老旧API、加密API如何自动化发现
链路看不见
- 应用层的数据流向、通信链路
- 攻击者的入侵路径
滥用管不住
- 开放API被第三方数据滥用
- 内部业务API权限管理不当
- 员工违规操作,账号滥用
企业API风险管理体系
在API风险管控体系建设过程中,企业应首先关注流程与制度的建设,通过一致的管理办法来保证业务API的生命周期安全可控。在技术架构层面,企业应选用API网关或数据总线构建API的统一接入层。之后通过安全分析技术对其流量进行风险研判。
星阑科技API风险治理之道
应用网关+“安全大脑”的API防护方案
在API的防护体系中,我们需要首先完成API的集中化管理,做到API的可用、可控、可见。其中API网关提供了API的基础安全,包括认证、加密与简单管控,此外我们可以将基于IP或基于简单规则的阻断抓手前置在API网关处,为业务流程提供串行阻断攻击的能力。
在现代化IT基础设施中,一次Web访问背后往往是数十次API调用,因此API网关较Web防火墙的时效性的时效性要求更高,在此前提下,复杂的运算逻辑难以在串行设备中实现,企业更需要一种旁路的“安全大脑”——大数据建模平台来结合更丰富的数据,对海量的API调用进行准实时与离线计算,识别数据中携带的敏感信息,判断异常访问与恶意攻击,并将简化后的处置逻辑反馈给API网关实现“旁路阻断”,以最大限度保障安全的自动化与业务的可用性。
星阑科技 StarCross API Intelligence
API资产管理
对API使用情况进行实时监控,异常访问可视化。对流量中的API自动聚合、分类、自定义标签化管理。并以树状图的方式便于管理员进行探索和调查。
API风险评估
汇集一线红队与StarCross Portal实验室的漏洞研究成果,全方位发现API的Web漏洞、应用漏洞、协议漏洞以及数据泄露风险,提供修复方案与加固建议,防患于未然。
API威胁检测
基于企业级大数据分析平台以及机器学习数据实体识别算法,支持ISO PI PII标准以及金融、政府、通信行业细分标准的40余种敏感数据实体识别。在此基础上针对API恶意攻击事件、数据泄露事件、撞库攻击进行实时告警。
来源:freebuf.com 2021-06-18 15:25:34 by: 北京星阑科技有限公司
请登录后发表评论
注册