在現(xiàn)代應(yīng)用架構(gòu)中，應(yīng)用開發(fā)深度依賴于API（應(yīng)用程序接口）之間的相互調(diào)用。API的絕對數(shù)量持續(xù)增長，通過API傳遞的數(shù)據(jù)量也隨之飛速增長。

Gartner預(yù)測，API將成為數(shù)據(jù)泄露最常見的攻擊媒介之一，到2024年，由API安全問題引起的數(shù)據(jù)泄露風(fēng)險將翻倍。

API數(shù)據(jù)泄露事件頻發(fā)

這一預(yù)測已成為現(xiàn)實。

2020年，GitHub開源軟件庫的API數(shù)據(jù)被非法釋放，其中包括來自用戶賬戶的5.5億條記錄。

2021年，F(xiàn)acebook的API數(shù)據(jù)安全事件導(dǎo)致數(shù)億用戶信息流出，至少6100萬用戶的實名信息被泄露，詳細到電話、地址等。

近年來，與API相關(guān)的數(shù)據(jù)泄露事件層出不窮，其中不乏個人身份信息、銀行卡信息、健康信息等敏感數(shù)據(jù)，給各行各業(yè)帶來了數(shù)據(jù)安全的重大挑戰(zhàn)。

數(shù)據(jù)安全事件的三點成因

為什么API成為了黑灰產(chǎn)攻擊的標(biāo)靶？

全球最大的CDN服務(wù)商Akamai監(jiān)測到，2021年API流量占全部互聯(lián)網(wǎng)流量的83%，且API訪問量以30%的速度逐年增加。DevOps及前后端分離的研發(fā)模式、云原生、微服務(wù)和企業(yè)模式都對API有著強烈依賴，這些技術(shù)的興起與廣泛應(yīng)用使API迅猛發(fā)展。

API資產(chǎn)龐大，幾乎無法實現(xiàn)嚴(yán)格高效的管理機制，藏匿于網(wǎng)絡(luò)中的未知API帶來了巨大的隱患。API調(diào)用過程中的數(shù)據(jù)流轉(zhuǎn)無法摸清，尤其對API間交互的數(shù)據(jù)無法感知，導(dǎo)致數(shù)據(jù)泄露事件頻頻發(fā)生。

以下三點攻擊方式都會造成數(shù)據(jù)泄露和篡改：

1、攻擊者利用未經(jīng)身份驗證或授權(quán)的API訪問漏洞，獲取敏感數(shù)據(jù)。

2、攻擊者利用API請求中的弱點，有目的地篡改敏感數(shù)據(jù)。

3、未經(jīng)正確處理的API請求可能導(dǎo)致緩沖區(qū)溢出漏洞，造成惡意代碼入侵系統(tǒng)并獲得高訪問權(quán)限。

API安全已經(jīng)成為數(shù)據(jù)安全的重要方向之一。這里的API安全是指在API交互過程中保護數(shù)據(jù)的能力，即確保數(shù)據(jù)的完整性、機密性和可用性。API攻擊的主要目標(biāo)是竊取與篡改敏感數(shù)據(jù)，結(jié)合敏感數(shù)據(jù)監(jiān)控的API防護手段才是切實有效的。

“元溯”數(shù)據(jù)安全產(chǎn)品

為API安全護航

API數(shù)據(jù)安全防護需要全面深入監(jiān)測：API交互敏感數(shù)據(jù)與API異常訪問行為。那么首先需要發(fā)現(xiàn)并采集復(fù)雜龐大的API訪問路徑，可視化展現(xiàn)訪問統(tǒng)計和訪問趨勢，生成API在網(wǎng)絡(luò)中的活躍狀態(tài)。

API資產(chǎn)發(fā)現(xiàn)

API的訪問調(diào)用伴隨著內(nèi)容數(shù)據(jù)的傳輸交互，這種交互復(fù)雜無序，且數(shù)據(jù)類型多樣，對數(shù)據(jù)資產(chǎn)管理者來說很不“友好”。“元溯”通過實時的內(nèi)容還原與掃描功能，對以API為傳輸載體的內(nèi)容數(shù)據(jù)進行提取還原、分類分級，將其標(biāo)記為可管控、可分析的數(shù)據(jù)資產(chǎn)。

API交互的文件數(shù)據(jù)

API交互的碎片化數(shù)據(jù)

“元溯”可從兩個維度分析API接口風(fēng)險，一是API交互數(shù)據(jù)的非法流轉(zhuǎn)風(fēng)險，通過數(shù)據(jù)合規(guī)等規(guī)則實時展現(xiàn)數(shù)據(jù)風(fēng)險；二是API調(diào)用行為的異常訪問風(fēng)險，通過業(yè)務(wù)訪問風(fēng)險規(guī)則和WEB攻擊風(fēng)險規(guī)則實時展現(xiàn)訪問風(fēng)險。

API數(shù)據(jù)合規(guī)監(jiān)測

API訪問異常監(jiān)測

安博通“元溯”數(shù)據(jù)安全產(chǎn)品為用戶實現(xiàn)API資產(chǎn)自動梳理、API畫像繪制、API調(diào)用行為監(jiān)測等功能。在API數(shù)據(jù)層面，將數(shù)據(jù)、應(yīng)用、用戶、設(shè)備進行有機關(guān)聯(lián)，可視化呈現(xiàn)復(fù)雜的API數(shù)據(jù)交互活動，在此基礎(chǔ)上進行數(shù)據(jù)安全治理。看得見才能管得住，安博通“元溯”數(shù)據(jù)安全產(chǎn)品為數(shù)據(jù)治理筑牢防護屏障。