API數(shù)據(jù)安全風(fēng)險(xiǎn)飆升！ 3場(chǎng)景1實(shí)踐看美創(chuàng)科技API-SMAC有效防護(hù)

有這么一個(gè)真實(shí)的案例，在某次實(shí)戰(zhàn)攻防演練中，防守方層層布防，搭建了十分健全的防御體系，本以為萬(wàn)無(wú)一失，結(jié)果靶標(biāo)悄無(wú)聲息被拿下。事后溯源中才發(fā)現(xiàn)，一個(gè)存在未授權(quán)訪(fǎng)問(wèn)的歷史API，成為了突破口，敏感信息被紅隊(duì)獲取，而防守方在備戰(zhàn)資產(chǎn)梳理時(shí)，并未發(fā)現(xiàn)這處疏漏。

一個(gè)疏忽的API放倒一眾“英雄”，不僅僅發(fā)生在實(shí)戰(zhàn)演練中。

在數(shù)字化進(jìn)程的持續(xù)加速下，API承載著應(yīng)用各組件間數(shù)據(jù)的流動(dòng)，成為數(shù)據(jù)交互最重要的傳輸方式之一，但隨著API的多樣性、復(fù)雜性在不斷增加，API資產(chǎn)理不清、風(fēng)險(xiǎn)不可見(jiàn)、流轉(zhuǎn)不透明，暴露了比以往更多的敏感數(shù)據(jù)，成為黑客竊取敏感數(shù)據(jù)的利刃:

??不知道應(yīng)用系統(tǒng)的API接口有哪些?哪些API是僵尸API、活躍API?分別傳輸了哪些敏感數(shù)據(jù)資產(chǎn)?哪些API接口需要重點(diǎn)管理?--API資產(chǎn)理不清!

??API接口是否存在濫用或攻擊行為，如接口的過(guò)度調(diào)用、非法共享等問(wèn)題?針對(duì)非法身份的調(diào)用是否經(jīng)過(guò)數(shù)據(jù)脫敏等去隱私化處理以防止批量泄漏?數(shù)據(jù)泄露是否能溯源?是否存在接口二次封裝的風(fēng)險(xiǎn)?針對(duì)二次封裝的現(xiàn)象如何進(jìn)行管控?--API調(diào)用時(shí)的數(shù)據(jù)安全風(fēng)險(xiǎn)不可見(jiàn)!

??數(shù)據(jù)流轉(zhuǎn)過(guò)程是否得到有效監(jiān)測(cè)和追蹤?--數(shù)據(jù)流轉(zhuǎn)鏈路不透明!

聚焦于A(yíng)PI訪(fǎng)問(wèn)通道以及其中的數(shù)據(jù)流動(dòng)安全，美創(chuàng)API安全監(jiān)測(cè)與訪(fǎng)問(wèn)控制系統(tǒng)(API-SMAC)將API資產(chǎn)治理、身份治理、流量管控、訪(fǎng)問(wèn)鑒權(quán)、機(jī)器學(xué)習(xí)等多種核心技術(shù)融合，幫助用戶(hù)梳理應(yīng)用中龐雜的海量接口，針對(duì)各類(lèi)API的調(diào)用行為，繪制接口畫(huà)像和接口訪(fǎng)問(wèn)軌跡，基于統(tǒng)一的敏感數(shù)據(jù)標(biāo)簽，監(jiān)測(cè)敏感數(shù)據(jù)流動(dòng)風(fēng)險(xiǎn)，識(shí)別接口調(diào)用的異常用戶(hù)行為，對(duì)風(fēng)險(xiǎn)行為的精準(zhǔn)攔截，為應(yīng)用系統(tǒng)的業(yè)務(wù)數(shù)據(jù)合規(guī)正常使用和流轉(zhuǎn)提供「可知、可視、可管、可溯」的安全保障。

“理不清、不可見(jiàn)、不透明”?三個(gè)場(chǎng)景看API-SMAC關(guān)鍵能力

API資產(chǎn)及敏感資產(chǎn)全面治理

在大型組織或跨組織的環(huán)境中，如運(yùn)營(yíng)商等行業(yè)，API的數(shù)量和復(fù)雜性非常高，管理和監(jiān)控大量的API接口、不同團(tuán)隊(duì)開(kāi)發(fā)的API、版本迭代過(guò)程中的歷史API以及與外部合作伙伴共享的API，變得異常復(fù)雜和困難。

API-SMAC結(jié)合機(jī)器學(xué)習(xí)引擎進(jìn)行智能流量分析，可持續(xù)自動(dòng)化的探測(cè)和發(fā)現(xiàn)業(yè)務(wù)應(yīng)用及海量的API資產(chǎn)，幫助用戶(hù)清楚地感知全業(yè)務(wù)域有多少API、是否安全，實(shí)現(xiàn)API資產(chǎn)全景心中有數(shù)。

此外，API-SMAC內(nèi)嵌敏感數(shù)據(jù)識(shí)別智能算法，快速識(shí)別接口和應(yīng)用中流轉(zhuǎn)的敏感數(shù)據(jù)，對(duì)數(shù)據(jù)進(jìn)行分類(lèi)分級(jí)，為更精細(xì)化的安全防護(hù)提供依據(jù)。

基于異常操作行為的安全管控

在組織內(nèi)部，往往需要通過(guò)API進(jìn)行不同部門(mén)、不同系統(tǒng)之間的集成和通信，以實(shí)現(xiàn)數(shù)據(jù)共享、業(yè)務(wù)流程協(xié)作等。但在內(nèi)部API之間傳輸?shù)臄?shù)據(jù)可能包含敏感信息，無(wú)論是由于疏忽、人為錯(cuò)誤、主觀(guān)惡意還是其他任何原因，若對(duì)API的訪(fǎng)問(wèn)控制不當(dāng)，就意味著數(shù)據(jù)外泄的風(fēng)險(xiǎn)和價(jià)值損失。

API-SMAC基于訪(fǎng)問(wèn)流量信息，實(shí)時(shí)監(jiān)測(cè)、識(shí)別、梳理各類(lèi)訪(fǎng)問(wèn)身份信息，結(jié)合機(jī)器學(xué)習(xí)等技術(shù)深度分析訪(fǎng)問(wèn)上下文、訪(fǎng)問(wèn)行為等因素，建立來(lái)訪(fǎng)身份畫(huà)像及訪(fǎng)問(wèn)基線(xiàn)，系統(tǒng)基于分類(lèi)分級(jí)結(jié)果，精準(zhǔn)識(shí)別敏感資產(chǎn)，結(jié)合脫敏、訪(fǎng)問(wèn)控制、水印溯源等能力，可對(duì)不同API接口從請(qǐng)求頻次、獲取敏感數(shù)據(jù)次數(shù)、敏感數(shù)據(jù)量、訪(fǎng)問(wèn)時(shí)段等實(shí)現(xiàn)多維細(xì)粒度安全管控防護(hù)。

數(shù)據(jù)流轉(zhuǎn)全鏈路風(fēng)險(xiǎn)監(jiān)測(cè)追蹤

組織或服務(wù)提供商向外部開(kāi)發(fā)者開(kāi)放API接口，以構(gòu)建新的應(yīng)用程序或擴(kuò)展現(xiàn)有應(yīng)用程序的功能，高度開(kāi)放面臨著數(shù)據(jù)流動(dòng)失控的風(fēng)險(xiǎn)。此外，當(dāng)組織通過(guò)開(kāi)放特定API與外部合作伙伴、客戶(hù)等進(jìn)行數(shù)據(jù)交互、系統(tǒng)集成和業(yè)務(wù)合作，同時(shí)存在未授權(quán)應(yīng)用調(diào)用API接口或接口二次封裝的違規(guī)行為。

API-SMAC以數(shù)據(jù)安全為視角，全鏈路監(jiān)測(cè)API接口中的數(shù)據(jù)流轉(zhuǎn)情況，實(shí)時(shí)監(jiān)控API接口的各類(lèi)風(fēng)險(xiǎn)及安全態(tài)勢(shì)。

根據(jù)OWAS API SercurtiyTOP 10風(fēng)險(xiǎn)，API-SMAC基于多種檢測(cè)分析引擎，內(nèi)置資產(chǎn)脆弱性、資產(chǎn)暴露面、越權(quán)訪(fǎng)問(wèn)、異常機(jī)器行為、安全合規(guī)等風(fēng)險(xiǎn)策略，對(duì)API數(shù)據(jù)流轉(zhuǎn)實(shí)時(shí)監(jiān)測(cè)與追蹤，確保數(shù)據(jù)流轉(zhuǎn)鏈路全程可視。

同時(shí)，API-SMAC可針對(duì)API接口中流轉(zhuǎn)的數(shù)據(jù)加注水印標(biāo)識(shí)，當(dāng)監(jiān)測(cè)到加注有水印標(biāo)識(shí)的數(shù)據(jù)被非授信應(yīng)用和接口訪(fǎng)問(wèn)時(shí)，可進(jìn)行告警并溯源責(zé)任到相關(guān)組織單位。支持API訪(fǎng)問(wèn)全過(guò)程記錄與分析，支持HTTPS加密流量審計(jì)，快速定位風(fēng)險(xiǎn)，精準(zhǔn)定位到人，支持大流量高并發(fā)審計(jì)保障業(yè)務(wù)連續(xù)性。

大數(shù)據(jù)局API數(shù)據(jù)安全難點(diǎn)API-SMAC有效解決實(shí)踐

在大力推動(dòng)數(shù)據(jù)共享開(kāi)放中，某大數(shù)據(jù)局作為統(tǒng)籌數(shù)據(jù)匯聚融合和共享開(kāi)放的中心環(huán)節(jié)，對(duì)外開(kāi)放大量的API傳輸數(shù)據(jù)，這一過(guò)程中面臨：

如何監(jiān)控整體數(shù)據(jù)資產(chǎn)流轉(zhuǎn)方式和敏感數(shù)據(jù)資產(chǎn)流轉(zhuǎn)態(tài)勢(shì)?

如何獲取數(shù)據(jù)使用方和數(shù)據(jù)提供方的身份信息和環(huán)境因素，對(duì)訪(fǎng)問(wèn)行為進(jìn)行有效管理?

如何對(duì)數(shù)據(jù)交換過(guò)程中數(shù)據(jù)傳輸進(jìn)行有效安全防護(hù)?

數(shù)據(jù)開(kāi)放接口后，如何防范接口二次非法封裝?

數(shù)據(jù)流轉(zhuǎn)分發(fā)后當(dāng)出現(xiàn)數(shù)據(jù)泄漏等安全風(fēng)險(xiǎn)時(shí)，如何進(jìn)行快速溯源?

?解決方案：

在大數(shù)據(jù)局側(cè)部署API安全監(jiān)測(cè)與訪(fǎng)問(wèn)控制系統(tǒng)(API-SMAC)，通過(guò)在公共平臺(tái)及授權(quán)應(yīng)用部署探針抓取轉(zhuǎn)發(fā)API流量，從而對(duì)API資產(chǎn)進(jìn)行發(fā)現(xiàn)及梳理，實(shí)現(xiàn)數(shù)據(jù)流轉(zhuǎn)過(guò)程中的安全監(jiān)測(cè)和訪(fǎng)問(wèn)控制。

同時(shí)，API安全監(jiān)測(cè)與訪(fǎng)問(wèn)控制系統(tǒng)創(chuàng)新無(wú)痕水印技術(shù)，實(shí)現(xiàn)數(shù)據(jù)泄露溯源功能，能夠溯源到人，并提供原始日志作為證據(jù)。

大數(shù)據(jù)局側(cè)

API管控能力：基于接口申請(qǐng)信息進(jìn)行安全合規(guī)檢測(cè)及安全訪(fǎng)問(wèn)管控，如當(dāng)API接口使用方應(yīng)用名稱(chēng)申請(qǐng)?zhí)峤粌?nèi)容不符時(shí)，API安全檢測(cè)系統(tǒng)將進(jìn)行處置響應(yīng)(告警或告警并阻斷)。

API水印能力：委辦局向大數(shù)據(jù)局公共平臺(tái)發(fā)起調(diào)用API接口請(qǐng)求，探針進(jìn)行流量抓取并轉(zhuǎn)發(fā)至API安全產(chǎn)品，API作為代理向公共平臺(tái)發(fā)送模擬請(qǐng)求，根據(jù)經(jīng)審批的API訪(fǎng)問(wèn)權(quán)限信息向數(shù)據(jù)庫(kù)獲取相應(yīng)數(shù)據(jù)，數(shù)據(jù)經(jīng)API安全產(chǎn)品插入含申請(qǐng)方身份屬性信息的無(wú)痕水印，便于數(shù)據(jù)水印溯源。

委辦局側(cè)

當(dāng)委辦局應(yīng)用經(jīng)審批擁有API調(diào)用權(quán)限后，可以獲取帶有無(wú)痕水印的數(shù)據(jù)內(nèi)容。當(dāng)已授權(quán)應(yīng)用想要將數(shù)據(jù)內(nèi)容傳輸給未授權(quán)應(yīng)用時(shí)，此動(dòng)作會(huì)被API安全監(jiān)測(cè)與訪(fǎng)問(wèn)控制系統(tǒng)抓取到，此時(shí)API安全監(jiān)測(cè)與訪(fǎng)問(wèn)控制系統(tǒng)會(huì)及時(shí)進(jìn)行處置響應(yīng)，進(jìn)行告警或告警并阻斷，實(shí)現(xiàn)對(duì)API訪(fǎng)問(wèn)行為的管控。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 ）