在現(xiàn)代應(yīng)用架構(gòu)中，應(yīng)用開發(fā)深度依賴于API（應(yīng)用程序接口）之間的相互調(diào)用。API的絕 對(duì)數(shù)量持續(xù)增長(zhǎng)，通過(guò)API傳遞的數(shù)據(jù)量也隨之飛速增長(zhǎng)。

Gartner預(yù)測(cè)，API將成為數(shù)據(jù)泄露最常見(jiàn)的攻擊媒介之一，到 2024 年，由API安全問(wèn)題引起的數(shù)據(jù)泄露風(fēng)險(xiǎn)將翻倍。

API數(shù)據(jù)泄露事件頻發(fā)

這一預(yù)測(cè)已成為現(xiàn)實(shí)。

2020 年，GitHub開源軟件庫(kù)的API數(shù)據(jù)被非法釋放，其中包括來(lái)自用戶賬戶的5. 5 億條記錄。

2021 年，F(xiàn)acebook的API數(shù)據(jù)安全事件導(dǎo)致數(shù)億用戶信息流出，至少 6100 萬(wàn)用戶的實(shí)名信息被泄露，詳細(xì)到電話、地址等。

近年來(lái)，與API相關(guān)的數(shù)據(jù)泄露事件層出不窮，其中不乏個(gè)人身份信息、銀行卡信息、健康信息等敏感數(shù)據(jù)，給各行各業(yè)帶來(lái)了數(shù)據(jù)安全的重大挑戰(zhàn)。

數(shù)據(jù)安全事件的三點(diǎn)成因

為什么API成為了黑灰產(chǎn)攻擊的標(biāo)靶？

全球最 大的CDN服務(wù)商Akamai監(jiān)測(cè)到， 2021 年API流量占全部互聯(lián)網(wǎng)流量的83%，且API訪問(wèn)量以30%的速度逐年增加。DevOps及前后端分離的研發(fā)模式、云原生、微服務(wù)和企業(yè)模式都對(duì)API有著強(qiáng)烈依賴，這些技術(shù)的興起與廣泛應(yīng)用使API迅猛發(fā)展。

API資產(chǎn)龐大，幾乎無(wú)法實(shí)現(xiàn)嚴(yán)格有效的管理機(jī)制，藏匿于網(wǎng)絡(luò)中的未知API帶來(lái)了巨大的隱患。API調(diào)用過(guò)程中的數(shù)據(jù)流轉(zhuǎn)無(wú)法摸清，尤其對(duì)API間交互的數(shù)據(jù)無(wú)法感知，導(dǎo)致數(shù)據(jù)泄露事件頻頻發(fā)生。

以下三點(diǎn)攻擊方式都會(huì)造成數(shù)據(jù)泄露和篡改：

1、攻擊者利用未經(jīng)身份驗(yàn)證或授權(quán)的API訪問(wèn)漏洞，獲取敏感數(shù)據(jù)。

2、攻擊者利用API請(qǐng)求中的弱點(diǎn)，有目的地篡改敏感數(shù)據(jù)。

3、未經(jīng)正確處理的API請(qǐng)求可能導(dǎo)致緩沖區(qū)溢出漏洞，造成惡意代碼入侵系統(tǒng)并獲得高訪問(wèn)權(quán)限。

API安全已經(jīng)成為數(shù)據(jù)安全的重要方向之一。這里的API安全是指在API交互過(guò)程中保護(hù)數(shù)據(jù)的能力，即確保數(shù)據(jù)的完整性、機(jī)密性和可用性。API攻擊的主要目標(biāo)是竊取與篡改敏感數(shù)據(jù)，結(jié)合敏感數(shù)據(jù)監(jiān)控的API防護(hù)手段才是切實(shí)有效的。

“元溯”數(shù)據(jù)安全產(chǎn)品

為API安全護(hù)航

API數(shù)據(jù)安全防護(hù)需要全面深入監(jiān)測(cè)：API交互敏感數(shù)據(jù)與API異常訪問(wèn)行為。那么首先需要發(fā)現(xiàn)并采集復(fù)雜龐大的API訪問(wèn)路徑，可視化展現(xiàn)訪問(wèn)統(tǒng)計(jì)和訪問(wèn)趨勢(shì)，生成API在網(wǎng)絡(luò)中的活躍狀態(tài)。

API資產(chǎn)發(fā)現(xiàn)

API的訪問(wèn)調(diào)用伴隨著內(nèi)容數(shù)據(jù)的傳輸交互，這種交互復(fù)雜無(wú)序，且數(shù)據(jù)類型多樣，對(duì)數(shù)據(jù)資產(chǎn)管理者來(lái)說(shuō)很不“友好”?！霸荨蓖ㄟ^(guò)實(shí)時(shí)的內(nèi)容還原與掃描功能，對(duì)以API為傳輸載體的內(nèi)容數(shù)據(jù)進(jìn)行提取還原、分類分級(jí)，將其標(biāo)記為可管控、可分析的數(shù)據(jù)資產(chǎn)。

API交互的文件數(shù)據(jù)

API交互的碎片化數(shù)據(jù)

“元溯”可從兩個(gè)維度分析API接口風(fēng)險(xiǎn)，一是API交互數(shù)據(jù)的非法流轉(zhuǎn)風(fēng)險(xiǎn)，通過(guò)數(shù)據(jù)合規(guī)等規(guī)則實(shí)時(shí)展現(xiàn)數(shù)據(jù)風(fēng)險(xiǎn)；二是API調(diào)用行為的異常訪問(wèn)風(fēng)險(xiǎn)，通過(guò)業(yè)務(wù)訪問(wèn)風(fēng)險(xiǎn)規(guī)則和WEB攻擊風(fēng)險(xiǎn)規(guī)則實(shí)時(shí)展現(xiàn)訪問(wèn)風(fēng)險(xiǎn)。

API數(shù)據(jù)合規(guī)監(jiān)測(cè)

API訪問(wèn)異常監(jiān)測(cè)

安博通“元溯”數(shù)據(jù)安全產(chǎn)品為用戶實(shí)現(xiàn)API資產(chǎn)自動(dòng)梳理、API畫像繪制、API調(diào)用行為監(jiān)測(cè)等功能。在API數(shù)據(jù)層面，將數(shù)據(jù)、應(yīng)用、用戶、設(shè)備進(jìn)行有機(jī)關(guān)聯(lián)，可視化呈現(xiàn)復(fù)雜的API數(shù)據(jù)交互活動(dòng)，在此基礎(chǔ)上進(jìn)行數(shù)據(jù)安全治理。看得見(jiàn)才能管得住，安博通“元溯”數(shù)據(jù)安全產(chǎn)品為數(shù)據(jù)治理筑牢防護(hù)屏障。

（推廣）