API五大安全风险，你中招了吗？(API安全技术与实战)

　　在“万物皆可API”的时代，通过API快速构建产品和服务、迅速响应客户需求已是数字化企业的必备技能。但同时，API承载着越来越复杂的应用程序逻辑和越来越多敏感数据的特征，也使得API成为黑产的重点攻击目标。

　　近年来，不少国际知名企业都因API安全疏忽而遭受了巨大的打击。不仅如此，据研究部门Salt Labs发布的《2022年第一季度API安全状况报告》显示，在过去12个月中，恶意API流量增加了681%，95%的组织都经历了API安全事件。然而，大多数组织并没有准备好应对这些挑战，超过三分之一(34%)的企业没有API安全策略。

　　API五大安全风险，你中招了吗?

　　2021年，我国《数据安全法》正式施行，数据安全步入法治化轨道，API安全也随之进入依法建设的新阶段。从《数据安全法》对数据传输、提供、公开的技术要求角度看，国内政企机构API应用主要面临五大管理挑战和安全风险：

　　风险一：API资产无法有效管理

　　由于API数量增长太快，很多企业都不清楚自己拥有多少个API，以及API处于什么样的状态。API接口无法扫描和探测，大量的API接口如何梳理?如果API资产不清，安全责任如何划分落实?又如何解决API资产的生命周期管理问题?

　　瑞数方案：针对API资产管理的挑战，瑞数API 安全管控平台(API BotDefender)可以持续发现API接口、建立API清单，并与业务方提供的API清单进行比对，以及时发现未知的API和僵尸API。同时，对API接口实现分类、分组、并指派责任人，实现数据分权管理;并提取API接口样式，为API接口提供可视化展示。

　　风险二：API安全攻击风险

　　不安全的API会持续扩大应用程序攻击面，让黑客更容易进行侦察、收集配置信息以及策划网络攻击。当API面临各种安全攻击，企业如何进行有效识别和防护?例如：API请求参数是否合规?API接口调用顺序是否合规?

　　瑞数方案：面对多样化的API攻击，瑞数API安全管控平台可以基于已知业务逻辑和依赖关系定义API接口调用顺序，防止绕过业务逻辑的访问行为，提前设置接口请求参数调用规则，拒绝非法的API请求参数调用，降低安全配置错误，缩小攻击面。同时，支持API安全攻击检测和防护，并引入语义分析技术，进一步提高检测准确性。

　　风险三：敏感数据管控

　　如今针对API的攻击已成为恶意攻击者的首选，越来越多的黑客利用API窃取敏感数据并进行业务欺诈。如果企业未对敏感信息等数据进行脱敏处理，且未加密传输，一旦流量被截获、破解，将对企业、公民个人权益造成严重影响。因此，企业需要更深入了解哪些API携带了什么类型的敏感信息;如何识别API访问中的敏感数据;对API中的敏感数据，如何实现控制;如何应对合规审计的要求等。

　　瑞数方案：为了更好地管控敏感数据，满足合规审计需求，瑞数API安全管控平台内置敏感信息检测引擎，覆盖姓名、手机号、身份证、银行卡、密码等18种敏感数据类型，可以对敏感信息进行自动分级，实时洞察API接口中双向传输的敏感数据、明文密码和弱密码，并及时对API接口回传报文中的敏感信息进行脱敏处理，规避数据泄漏风险。

　　风险四：API异常访问风险

　　随着自动化攻击手段的不断升级，企业即使建立了身份认证、访问授权、敏感数据保护等机制，有时仍无法避免黑客以机器模拟正常用户行为来实施攻击。面对以合法身份登录、模拟正常操作、多源低频的API访问请求，企业能否察觉访问行为是否异常?如何管理API的访问行为，从API访问中如何识别业务风险?针对异常访问，又如何实现管控?

　　瑞数方案：以合法身份登录、模拟正常操作、多源低频的API访问请求，是API攻击很难被发现的重要原因。对此，瑞数API 安全管控平台基于多维度实时监控 API 接口的访问行为，包括访问成功率、耗时、TPS、并发数、攻击事件等维度，建立API访问基线，能够及时发现偏离基线的异常访问行为。同时，内置的API业务威胁模型，可以透视API常见的业务威胁，如：撞库、爬虫等，高效准确进行人机识别。

　　风险五：实时安全防护

　　面对未知的、多样化的API攻击，企业需开启实时安全防护，对API安全威胁进行主动发现和响应，才能真正为业务筑起安全防线，例如：能否实时细粒度阻断、熔断各类风险?能否在实现防护同时不影响业务?

　　瑞数方案：基于企业对实时安全响应和业务发展的需求，瑞数API BotDefender内置灵活的API访问控制策略，可基于API接口、API分组，API 管理责任人、源IP、访问频率、客户端指纹、API令牌、User Agent、HTTP请求特征等上百多个元素，对API接口实现精细化的访问控制，支持多维度限频、拦截、延时等，实现安全和业务的平衡。

　　目前，大多数企业在API安全应对上主要依赖传统的身份认证、权限控管及请求内容校验等安全机制，但黑产已经实现各类攻击资源高度的模块化和市场化，使得企业无法从容应对现有业务模式下API的各类新兴威胁。

　　与传统安全产品相比，瑞数API安全管控平台(API BotDefender)率先在业内提出了“ADMP安全模型”方法论，从API“感知、发现、监测、保护”四个角度出发，实现API数据传输、提供、公开的安全治理，体系化保障API安全。这弥补了各类产品的弊端，并具备多种核心优势：

　　自动化API资产管理

　　传统API网关主要实现鉴权和认证，缺少API安全层面的发现和管控。

　　瑞数API安全管控平台则可以快速自动地发现API资产，并可实现API接口的高精度识别和样式提取，对发现的API给出明确的认定;同时，显示出清晰的API列表，对API接口的访问情况一目了然，帮助用户实现API资产生命周期管理。

　　API多维度攻击防护

　　传统WAF基于规则库，只能固守规则对安全攻击进行拦截，无法全方位透视业务威胁。

　　瑞数API安全管控平台采用全程式安全威胁防护技术，基于语义分析规则综合性地对异常行为进行检测分析，误报率、漏报率明显降低;通过流量分析和行为分析技术，精准构建API业务威胁模型。不仅覆盖OWASP API Security Top10的攻击防御，且通过API业务威胁模型，能够快速应对诸如爬虫、撞库等各类API业务安全威胁。

　　行业性敏感数据管控

　　瑞数API安全管控平台默认自带有多种类的敏感数据识别策略，覆盖政府、金融、运营商、医疗等行业几十种常见敏感数据的识别，亦可根据行业用户针对性业务特点进行敏感数据自定义标签化数据，帮助用户快速识别敏感数据。

　　动态响应防护

　　瑞数API安全管控平台能够对攻击和异常行为的结果或指定条件，进行动态响应防护，提升通过逆向探测或机器学习分析等攻击手段的难度。

　　高能性处理

　　瑞数API安全管控平台从采集API数据、解构API报文、联系API上下关系等流程上优化数据处理，能支撑超大流量环境的API治理，支持的业务访问数(TPS)能力是传统方式的20倍。