API成數據安全最大風險敞口 數字時代該如何應對安全挑戰？

如今，數據已成為新興的生產要素，是國家基礎性和戰略性資源，隨之而產生的數據安全需求也愈發凸顯。自2021年初，國家網信辦、工信部、公安部等多部門對數據安全、網絡信息安全等涉及到國家安全的領域密集出臺相關監管措施，從上至下編織起“數據安全”和“網絡安全”兩張大網。

7月10日，《網絡安全審查辦法(修訂草案征求意見稿)》公開征求意見;今年9月1日，《中華人民共和國數據安全法》就將開始實施……在此背景下，國家和企業對于數據保護和安全建設的訴求已經提升到一個全新層次。而作為連接數據和應用之間的重要通道，API正在成為攻擊者眼中撬開數據“蜜罐”的開瓶器。

API成數據安全最大風險敞口 如何打贏數字時代的“數據保衛戰”?

在數字時代下，無論是互聯網商業創新還是傳統企業數字化轉型，都推動了API經濟。可以說，API就是傳統行業價值鏈全面數字化的關鍵技術，其連接的已不僅僅是系統和數據，還有企業內部職能部門、客戶和合作伙伴，甚至整個商業生態。但是，API目前所面臨的嚴峻安全挑戰，卻很容易被管理者所忽視，也并無過往的應對經驗。

從只用于企業內部服務調用的API 1.0時代，到面向服務架構的API 2.0時代，再到如今成為開放平臺和云原生微服務的API 3.0時代，API已經逐步從限制性的局部接口，轉向更大和更廣的開放。這為開發者帶來了諸多好處，比如可公開獲取、標準化、高效且易于使用等，但同時其自身的風險敞口進一步擴大。Gartner在其《如何建立有效的API安全策略》報告中預測，“到2022年，API濫用將成為導致企業Web應用程序數據泄露的最常見攻擊媒介。”

近年來，越來越多的攻擊者正利用API來實施自動化的“高效攻擊”，由API漏洞利用的攻擊或安全管理漏洞所引發的數據安全事件，嚴重損害了相關企業和用戶權益，逐漸受到各方的關注。比如：2021年4月，Facebook平臺上的5億用戶數據泄漏，涉及信息包括用戶昵稱、郵箱、電話、家庭住址等信息，事后判定為業務接口泄漏。時隔2個月，另一著名社交平臺LinkedIn領英，有超過7億用戶數據在暗網出售，涉及用戶的全名、性別、郵件以及電話號碼、工作職業等相關個人信息。據悉，部分數據也是通過API泄露獲取。2020年，微博的3.5億數據泄露，就是來自于終端APP的業務邏輯API被非法流量調用超過40億次而導致。2020年，印尼最大的電商網站Tokopedia 9100萬用戶信息泄漏，里面涉及到用戶曾經瀏覽到商品信息和訂單信息，也為業務接口泄漏。由于API既能夠起到連接服務的功能，又可以用來傳輸數據，因此，API的安全防護非常重要也非常敏感。

整體來看，API所面臨的風險包括：憑據失陷、越權訪問、數據篡改、違規爬取、數據泄露等諸多安全風險。從API的安全訪問流程上進行評估，實施的防護措施應包含有效的身份認證、可控的訪問授權、針對特定數據返回結果的篩選、訪問異常行為檢測及響應等。而在大多數業務場景下，API在對外提供服務時并沒有部署良好的防護機制。究其原因，一方面是由于業務的快速迭代，安全負責人無法完整掌握API的使用情況、業務與安全存在割裂;另一方面是對現有API進行安全改造的成本巨大。未來，API在數字化轉型中扮演的角色將愈發重要，因此亟需有效的解決方案對開放共享的數據核心資產提供保護。

然而，對于API的安全管控也并非易事。難題在于，盡管大多數安全從業者會建議隱藏資源、減少暴露面和攻擊面，但業務上成功部署的API卻傾向使資源更加開放和可用。并且隨著云原生時代的到來，微服務核心架構下，API成為服務交付的必選，API遭遇的安全困局實際上也是現代網絡安全面臨的一個共性問題，對安全團隊而言，既不能因為保護業務而讓系統變得封閉，又要將API風險敞口保持在可控范圍之內，這就需要制定平衡業務與安全的API風險管理策略，并搭建功能完善、具備彈性的安全管控平臺。

凡事預則立不預則廢安全管控平臺將風險化解于無形

API風險管控雖不易，卻仍有跡可循。

國內創新安全廠商瑞數信息認為，API管控應做到內化于心、外化于行。在內部做到心中有數，在外部做到知行合一。

API的安全防護離不開業務層面上對API的開發管理。一般來說，API的安全開發需要開發人員具備API安全開發的知識和意識，并遵循安全開發規范對API進行開發和部署。例如使用基礎的用戶名密碼的方式進行身份驗證，或者通過API密鑰即令牌字符串進行安全防護，或者基于OAuth框架進行用戶身份信息的驗證以及基本信息的校驗。

不僅在開發層面，事實上，對API的安全管控是一件從開發、應用，到運營、維護，整個階段都要參與和防護的過程，這一點和傳統的網絡防護有所區別又有相似之處。在此背景下，瑞數信息創新地推出API安全管控平臺——API BotDefender，致力于幫助企業做到對API安全風險的可知和可控。

有別于很多單純從API安全網關角度切入的安全廠商，瑞數信息在技術路線上將攻擊的防御能力與AI智能的數據分析能力進行全面融合，由此推出具有API感知、發現、監控、保護能力的API BotDefender，是一種結合了以上兩種API安全方案優勢的創新方案。該平臺包括API資產管理、攻擊防護、敏感數據管控和訪問行為管控四大模塊，為API接口提供完整的安全管控方案。

在資產管理模塊中，實現對API資產的統一管理。API資產管理基于數據建模自動發現被保護站點的API資產，對API資產進行梳理、分析和上下線，幫助客戶實現API資產的生命周期管理。

攻擊防護模塊綜合利用智能規則匹配及行為分析的智能威脅檢測引擎，持續監控并分析流量行為，有效檢測威脅攻擊。智能威脅檢測引擎在用戶與應用程序交互的過程中收集數據，并利用統計模型來確定HTTP請求的異常。一旦確定異常情況，智能引擎就會使用機器學習獲得的多種威脅模型來確定異常攻擊。

敏感數據管控模塊會對API傳輸中的敏感數據進行識別，針對敏感數據可以進行脫敏處理或者實時攔截，防止敏感數據泄露。

訪問行為管控模塊將對API接口的訪問行為進行分析，通過多維度建立API訪問基線、API威脅建模，發現異常訪問行為，避免惡意訪問和接口濫用造成的業務損失。

完備的模塊功能讓API BotDefender能夠實現從API接入的客戶端到API服務器端的全程式API安全威脅防護。API BotDefender不僅可以快速自動地發現API，并且針對發現的API給出明確的認定，還可以顯示出清晰的API列表，對API接口的訪問情況一目了然。同時，通過精準地構建API畫像，可以快速預覽各個業務的API情況，包括使用情況、異常情況、訪問來源等，并且可根據行為分析的結果或指定條件，進行動態響應防護，提升通過逆向探測或機器學習分析等攻擊手段的難度。

一個優秀的安全管理平臺不僅要與業務有良好的契合度，具備強大的安全管控能力，還要容易部署和運維。在部署方式上，API BotDefender非常靈活，支持串聯及旁路鏡像的方式，以及軟件、硬件和云等多種模式，可以大大降低部署、管理和維護成本。同時，占用資源少，不影響服務器的正常運行，可以實現應用無感知部署。

如今，API安全已經成為企業時刻需要關注的安全問題，缺乏良好防護策略的API服務，不僅會對用戶的使用體驗以及個人隱私帶來威脅，而且還會使企業面臨未知的安全風險。為了提高API安全性，開發人員需要在設計和開發階段，對API的安全性進行良好的構建和設計。對于管理人員來說，則可以使用API安全管控平臺這樣的安全工具，從而可以更好地對未知風險進行檢測和防護，做到未雨綢繆、防患于未然。