随着移动APP、微服务架构、云、物联网的兴起,企业API数量呈爆发式增长。作为数字世界的连接者,API为企业搭建起了一条内外相连、四通八达的“数据公路”。
API是什么?API,全称Application Programming Interface,即应用程序编程接口。API是一些预先定义函数,目的是用来提供应用程序与开发人员基于某软件或者某硬件得以访问一组例程的能力,并且无需访问源码或无需理解内部工作机制细节。API就是操作系统给应用程序的调用接口,应用程序通过调用操作系统的API而使操作系统去执行应用程序的命令(动作)。在Windows中,系统API是以函数调用的方式提供的。
一方面,API确实让企业更低成本地打通内外部数据,并利用云市场的服务,敏捷响应客户需求,让用户操作越来越高效、便捷、丰富......
另一方面,API的指数级增长,让运维管理越来越难,安全暴露面越来越大、风险越来越高。
企业到底有多少API?这些API的状况如何?是否存在僵尸API、影子API、无效API?是否存在API滥用?这些API真的安全吗?有没有敏感数据在这条“数据公路”上疯狂“裸奔”。
一、API安全危机到了什么程度?
实际数据调查再次证明上述担忧是有必要的。
一项国际权威调查表明,2021年API攻击流量在一年中增长了 681%,94%的所有失窃数据涉及API暴露安全,95%的企业都经历了API安全事件。
Gartner研究调查则显示,2022年超过90%web应用程序遭到的攻击来自API,并预测API滥用将成为导致企业Web应用程序数据泄露的最常见攻击媒介。到2024年,API滥用和相关数据泄露将几乎翻倍。
2023年,最新发布的企业数据调查显示,由API引发的网络攻击面正在持续增加,60%的受访企业发生过与API相关的安全事件,其中74%的组织存在3次或以上的安全事件。
显然,API搭建的这条“数据公路”并不安全。企业要想在这条“数据公路”上持续安全平稳“行驶”,首要前提是解决API安全问题!
二、如何自动化全面摸清API资产?
众所周知,一个应用会涉及多个不同类型API,有的复杂应用接口甚至多达数万个。企业为驱动业务开放共享、创新业务服务增长,还在不停增加API的使用。正如我们对企业API数量描述的含糊其辞,其实正是大多数企业API的管理现状——企业不清楚自己拥有多少API,也不知道API处于什么状态。
这时候,就需要采用类似WAAP全站防护这样的自动化、智能化工具。
全站防护是基于风险管理和WAAP理念打造的安全方案,以“体系化主动安全” 取代安全产品的简单叠加,为各类Web、API业务等防御来自网络层和应用层的攻击,帮助企业全面提升Web安全水位和安全运营效率。基于流量分析,发现流量数据中的API业务,并形成API资产清单,为后续的防护工作做好资产盘点;完成资产盘点和脆弱性分析后,基于发现的安全风险,结合客户业务的智能化分析,可自动为客户业务适配防护策略,支持客户按需开启相应的防护能力、一键复用已有的安全策略,实现开箱即用。并且对API进行业务分类,形成分类明确、路径清晰、资产全清的可视化API资产树形图。在流量分析中,还能发现影子/僵尸 API(即未知的 API)、弱API、无效API等,监测每一个API安全情况,形成业务API、应用级API、全局API三大维度的API画像,帮助企业多维度、多视角地摸清、梳理出企业API资产与实时状况。
三、如何有效应对API安全攻击?
我们都知道,API扩大企业安全攻击面的一个重要原因是,API 本身是暴露在网络上的。这时候,如果在API与外部网络之间加一个防护引擎,就可以很好地解决这个问题。防护引擎也就是WAAP全站防护,可以对所有动态数据进行加密传输,这样可以避免API直接暴露给第三方或者移动端应用,减少外部对API的暴露面和受到直接攻击的风险。
此外WAAP全站防护有很强的安全防护能力,例如,当流量经过WAAP时,WAAP通过速率限制来防止DDoS攻击;随后启动身份验证,确保正确的身份才能通过;通过之后,并不意味着就可以访问后端所有数据,而是经过访问控制判断是否有权限访问以及有哪些权限;整个过程,后台有审计日志记录所有请求与结果。
四、为什么WAAP全站防护这么关键?
大家可能会好奇,为什么在API安全、DDOS防护、业务安全等方面上都能看到WAAP全站防护的身影呢?我们可以从全站防护的三个阶段来看出其重要性:
事前阶段:风险盘点和脆弱性分析,实现风险发现和收敛
在事前阶段,通过漏洞扫描、渗透测试、互联网资产暴露面发现等方式,为客户提供丰富的风险感知、风险盘点和资产脆弱性分析,及时发现客户自身业务存在的安全风险,为客户提供更有针对性防护建议。
(1) 漏洞扫描
通过漏洞扫描器对Web应用资产进行安全扫描,发现Web应用中存在的安全漏洞(OWASP TOP10、弱口令、CVE漏洞等);
(2) 渗透测试
通过人工的方式,模拟黑客使用的漏洞发现技术和攻击手段,对目标系统进行非破坏性漏洞挖掘,盘点目标系统潜在的安全隐患;
(3) 互联网资产暴露面发现
通过平台和人工服务的方式,对域名、IP及关键字的综合查询及关联分析,提供互联网资产的发现、识别、监测、稽核等服务,帮助用户发现和梳理互联网未知资产;
(4) API资产盘点
基于流量分析,帮客户发现流量数据中的API业务,并形成API资产清单,为后续的防护工作做好资产盘点;完成资产盘点和脆弱性分析后,基于发现的安全风险,结合客户业务的智能化分析,可自动为客户业务适配防护策略,支持客户按需开启相应的防护能力、一键复用已有的安全策略,实现开箱即用。
事中阶段:托管式全栈安全防护,规避未知安全风险
在事中阶段,全站防护从网络安全、应用安全、业务安全、API安全等防护视角,为企业Web应用提供全面的、闭环的安全防护。
(1) DDoS防护
实时检测并清洗各类网络层和应用层DDoS攻击(如SYN Flood、UDP Flood、HTTP Flood等),具备庞大的带宽储备及分布式架构,弹性扩容以应对任意规模网络层DDoS攻击,并基于自适应人机校验、动态行为模型等多层策略组合防护,实现对应用层DDoS攻击的快速识别和拦截,确保网站和应用程序不受大流量攻击的影响。
(2) 业务安全
针对Web/APP/小程序等业务流量中涵盖的Bot流量采用差异化的管理策略,并根据实际业务需求对Bot流量进行管理,解决内容爬取、恶意注册、非法登录、营销欺诈等OWASP Automation Top20威胁。
(3) WAF防护
结合规则+AI双引擎,提供OWASP Top10(SQL注入、XSS跨站脚本、常见Web服务器漏洞、命令注入、Webshell上传、目录遍历等)、网站扫描、网站挂马等各类常见Web应用攻击的识别和防护,同时,能够基于主动防御引擎及时发现0Day攻击并防护,避免网站服务器被恶意入侵导致的篡改、敏感数据泄露等问题,从而保障网站安全。
(4) API安全
API是当前导致企业Web数据泄露的最常见攻击入口,全站防护基于WAAP理念,针对API应用提供精细化的管理防护。通过定义应用程序编程接口(API)允许的请求类型、身份验证标识、请求实体和参数结构等,对业务中存在的API流量进行持续的安全检测,保护API免受未经授权的访问、滥用和恶意攻击等。
(5) 全站隔离
全站隔离通过在客户终端和访问源站之间构建了一个完全隔离攻击威胁的访问平台。当用户进行互联网访问请求时,客户端访问网页都会在远程隔离里执行,传输给用户的是绝对安全的网页。当用户本地浏览器存在漏洞时,由于客户终端和Web应用系统是隔离开的,攻击者无法利用本地浏览器的漏洞攻击Web源站,达到有效隐藏源站攻击面,屏蔽无规则0Day漏洞攻击的安全风险。
(6) 威胁情报
基于云安全平台上捕获的大量攻击样本进行持续跟踪和分析,通过特征工程、专家规则等手段形成可精准应用于不同场景的IP威胁情报,包括:特定攻击风险、行业攻击风险、攻击资源风险,可根据特定场景需求选择应用不同的IP威胁情报,提升主动防护能力。
(7) 安全自适应
安全策略无法保证100%准确,全站防护具备自适应能力,利用大数据分析技术,在网站接入后自动分析业务流量进行策略适配,并持续、自动地分析所有业务中可能存在的安全触发因素,包括误漏报,以提供适配业务场景的安全策略建议,尽可能减少用户操作阻碍,降低安全管理开销。
事后阶段:体系化安全运营,夯实全链路风险管理
安全风险管理是一个动态的过程,也是安全运营的核心工作。通过团队协作或跨团队协作,统筹各项安全能力,以降低风险为目标,对已知/未知风险进行持续监测和管控,打造安全生命周期“闭环”能力。
(1) 主动性:风险感知和监测
平台围绕“感知+分析+处置”的实战运营逻辑,提供全面的Web安全态势,主动感知和响应已知安全事件;并且提供全链路安全数据管理服务,采集全链路安全日志,进行分析和可视化处理,主动管理安全风险。
(2) 持续性:风险监测和安全策略调优
基于平台实战经验、持续的攻防对抗研究、威胁情报等,持续优化配置安全策略,动态提升整体安全能力;以及综合客户业务攻防特性,自动策略调优机制,规避漏报、误报。
(3) 对抗性:未知风险感知及应急响应
通过威胁情报、全平台实时风险监测机制,及时发现未知威胁,并保障快速应急响应;资深安全专家,提供重保服务、安全培训、策略优化等专项安全专家服务,提升企业风险应对能力;
总之,保障API安全需要综合运用多种高技术策略,需要从多个方面入手,构建全方位的防护体系。只有这样,企业才能在数字化转型的道路上稳健前行,确保业务的安全和稳定。