《数据安全法》落地加急，API数据风险如何治理 – 作者:北京星阑科技有限公司

API通信——现代应用架构的“血液”

在现代的应用架构中，我们每一次打开网页，其中渲染的内容均由后端不同服务提供，这些服务之间通过API进行交互通信。举个例子：我们打开淘宝浏览商品，在前端我们只是看到一个商品页面，但是背后有无数次API调用，通过这些API前端可以获取到商品的价格、简介、商家、图片等信息。除此之外，后端的智能推荐算法还会迅速查找你的购买记录、支付行为、购物足迹等等数据进行商品推荐，为用户打造出千人千面的搜索结果，这些高效率的算法均由微服务架构支撑，通过API进行交互。

目前，随着IT基础设施的云化与微服务化，携带大量敏感数据的API通信已成为流经所有业务系统的“血液”，其安全风险与数据风险急需解决。

API数据泄露事件频发

• 2020年3月，有用户发现38亿条微博用户信息在暗网出售，其中1.72亿有账号基本信息。针对本次数据泄露事件微博相关负责人回应：“泄漏的手机号是 19 年通过 通讯录上传接口 被暴力匹配的，其余公开的信息都是网上抓来的。”
• 2021年4月，Facebook 5亿用户数据在暗网公开售卖，其中包括用户的昵称，邮箱，电话，家庭住址信息。Facebook回应称报道中的数据泄露事件与外部黑客数据窃取有关，起因为2019年 在线业务API 一个功能遭到误用，导致信息出现泄露，影响用户约3亿。
• 2021年6月，某电商企业11亿条用户信息泄露，调查结果显示有黑产通过 订单评价接口 绕过平台风控批量爬取加密数据，爬取内容包括买家用户昵称，用户评价内容，昵称等敏感字段等信息。

API安全建设难点

资产理不清

1. API资产有哪些，风险如何
2. 数据总线？API网关？哪些业务没接入统一管控
3. 老旧API、加密API如何自动化发现

链路看不见

1. 应用层的数据流向、通信链路
2. 攻击者的入侵路径

滥用管不住

1. 开放API被第三方数据滥用
2. 内部业务API权限管理不当
3. 员工违规操作，账号滥用

企业API风险管理体系

在API风险管控体系建设过程中，企业应首先关注流程与制度的建设，通过一致的管理办法来保证业务API的生命周期安全可控。在技术架构层面，企业应选用API网关或数据总线构建API的统一接入层。之后通过安全分析技术对其流量进行风险研判。

星阑科技API风险治理之道

应用网关+“安全大脑”的API防护方案

在API的防护体系中，我们需要首先完成API的集中化管理，做到API的可用、可控、可见。其中API网关提供了API的基础安全，包括认证、加密与简单管控，此外我们可以将基于IP或基于简单规则的阻断抓手前置在API网关处，为业务流程提供串行阻断攻击的能力。

在现代化IT基础设施中，一次Web访问背后往往是数十次API调用，因此API网关较Web防火墙的时效性的时效性要求更高，在此前提下，复杂的运算逻辑难以在串行设备中实现，企业更需要一种旁路的“安全大脑”——大数据建模平台来结合更丰富的数据，对海量的API调用进行准实时与离线计算，识别数据中携带的敏感信息，判断异常访问与恶意攻击，并将简化后的处置逻辑反馈给API网关实现“旁路阻断”，以最大限度保障安全的自动化与业务的可用性。

星阑科技 StarCross API Intelligence

API资产管理

对API使用情况进行实时监控，异常访问可视化。对流量中的API自动聚合、分类、自定义标签化管理。并以树状图的方式便于管理员进行探索和调查。

API风险评估

汇集一线红队与StarCross Portal实验室的漏洞研究成果，全方位发现API的Web漏洞、应用漏洞、协议漏洞以及数据泄露风险，提供修复方案与加固建议，防患于未然。

API威胁检测

基于企业级大数据分析平台以及机器学习数据实体识别算法，支持ISO PI PII标准以及金融、政府、通信行业细分标准的40余种敏感数据实体识别。在此基础上针对API恶意攻击事件、数据泄露事件、撞库攻击进行实时告警。

来源：freebuf.com 2021-06-18 15:25:34 by: 北京星阑科技有限公司