随着微服务架构的普及、开发向低代码/无代码转变,API的应用持续扩大。据统计,API请求已占所有应用请求的83%,预计2024年API请求命中数将达到42万亿次,API已经成为数字世界的基础设施。与此同时,API攻击呈现爆发态势。2021年API攻击流量增长了681%,而整体API流量增长了321%。既要API的开放,又要API的安全,成为了企业开展数字化业务的“两难困境”。
一、企业面临的API安全挑战
为了保障API安全,企业纷纷将建设API安全防护体系提上日程,将其视为网络安全建设的新课题、新方向。但在实际建设过程中,API的特性给企业带来了一些列的挑战。
首先,API类型多、数量多。有研究显示,每家企业平均管理超过350种不同类型的API,单个复杂业务应用的API数量可达10W级。随着企业业务数字化水平的持续提升,API的类型和数量化还在快速增长中。
其次,API安全漏洞多、访问流量大。不同类型的API存在不同的安全漏洞。由于API资产规模庞大、类型繁杂,企业往往难以及时修补这些漏洞,也难以及时相关的攻击行为。
最后,API传输的敏感数据多,威胁感知难。API中传输着大量敏感数据,企业难以感知哪些敏感数据被访问,出现访问异常后也难以实时阻断,并对威胁进行分析溯源。
面对这些API安全风险,建设API安全监测平台,借助平台统一管理API安全资产、监测API攻击、保障数据安全成为了企业的必然选择。
二、API安全监测平台
API安全监测平台是企业管理API资产、保障API安全的工具,通常采用旁路部署,使用探针监测、分析网络和业务应用的API镜像流量。API安全监测平台通常具备API资产发现、API资产画像、API脆弱性发现与修补、API攻击监测、数据安全分析等功能,帮助企业建立API安全监测体系,保证自身的网络安全与业务安全。
API安全监测平台的核心功能如下:
1. API资产发现
API资产发现是API安全监测平台的基础功能。API安全监测平台基于流量基线和数据模型,自动发现API资产,对API进行梳理、分析和分类,建立API资产画像,以可视化方式展现API信息。
2. API脆弱性分析
API安全监测平台能够自动分析和发现系统中API的脆弱性问题,对API存在的越权、注入、失速和敏感数据暴露等漏洞进行检测,并提供对应的修补方案。
3. API攻击监测
能够实时监控API访问情况,分析流量数据,识别风险行为,发出攻击报警。平台提供对API攻击的分析、溯源功能,帮助企业实现对API风险行为的全生命周期管理。
4. 数据安全分析
API安全监测平台能够依照数据识别规则,检测API接口中双向传输的敏感数据。针对命中风险事件的IP、账号,平台能够联动其它安全产品,进行主路实时阻断。平台支持对敏感事件的访问取证,安全人员可对敏感数据进行追踪溯源。
三、API安全监测平台应用场景
API安全监测平台偏重于API安全的监测,多与偏重于策略与响应的API安全网关配合使用,在Web应用安全、企业内网安全、数据安全等场景下,保障企业数字化业务的安全。
1. Web应用安全
企业的Web应用通过API向合作方提供数据、服务。API安全监测平台能够对Web API进行脆弱性分析,检测API安全漏洞,并给出修补方案;能够实时监控Web API的访问情况,分析流量数据,基于API威胁模型识别风险行为并发出报警。
2. 企业内网安全防护
针对企业内网中业务应用与业务应用之间的API,以及应用内部功能模块之间的API,API安全监测平台能够自动发现API资产,对API资产进行梳理、分类和聚合,完成API资产画像,帮助企业实现对API的全生命周期管理。
API安全监测平台还能够完成API脆弱性分析、监测API攻击、识别敏感数据,帮助及时发现和处理潜在的API安全问题。
3. 数据安全防护
API安全监测平台应能自动识别API接口中双向传输的敏感数据。针对命中风险事件的IP、账号,平台能够发出警报并联动其它安全产品,进行主路实时阻断,保障企业数据安全。
API安全监测平台支持对敏感事件的访问取证,安全人员可对敏感数据进行追踪溯源。
四、API安全监测平台应用实践
某运营商采用芯盾时代API安全监测平台管理企业的API资产,对原有API资产进行了全面的梳理,以功能、应用等多种维度聚合同类API,形成分类明确、路径清晰的API资产树,构建API资产画像,建立“全局可视、单点清晰”的API资产管理体系。借助API安全监测平台,实现对所有API进行脆弱性分析,修补了大量的API安全漏洞,有效提升了API安全水平。
