在“萬物皆可API”的時(shí)代，通過API快速構(gòu)建產(chǎn)品和服務(wù)、迅速響應(yīng)客戶需求已是數(shù)字化企業(yè)的必備技能。但同時(shí)，API承載著越來越復(fù)雜的應(yīng)用程序邏輯和越來越多敏感數(shù)據(jù)的特征，也使得API成為黑產(chǎn)的重點(diǎn)攻擊目標(biāo)。

近年來，不少國際知名企業(yè)都因API安全疏忽而遭受了巨大的打擊。不僅如此，據(jù)研究部門Salt Labs發(fā)布的《 2022 年第一季度API安全狀況報(bào)告》顯示，在過去 12 個(gè)月中，惡意API流量增加了681%，95%的組織都經(jīng)歷了API安全事件。然而，大多數(shù)組織并沒有準(zhǔn)備好應(yīng)對(duì)這些挑戰(zhàn)，超過三分之一（34%）的企業(yè)沒有API安全策略。

API五大安全風(fēng)險(xiǎn)，你中招了嗎？

2021 年，我國《數(shù)據(jù)安全法》正式施行，數(shù)據(jù)安全步入法治化軌道，API安全也隨之進(jìn)入依法建設(shè)的新階段。從《數(shù)據(jù)安全法》對(duì)數(shù)據(jù)傳輸、提供、公開的技術(shù)要求角度看，國內(nèi)政企機(jī)構(gòu)API應(yīng)用主要面臨五大管理挑戰(zhàn)和安全風(fēng)險(xiǎn)：

風(fēng)險(xiǎn)一：API資產(chǎn)無法有效管理

由于API數(shù)量增長太快，很多企業(yè)都不清楚自己擁有多少個(gè)API，以及API處于什么樣的狀態(tài)。API接口無法掃描和探測，大量的API接口如何梳理？如果API資產(chǎn)不清，安全責(zé)任如何劃分落實(shí)？又如何解決API資產(chǎn)的生命周期管理問題？

瑞數(shù)方案：針對(duì)API資產(chǎn)管理的挑戰(zhàn)，瑞數(shù)API 安全管控平臺(tái)（APIBotDefender）可以持續(xù)發(fā)現(xiàn)API接口、建立API清單，并與業(yè)務(wù)方提供的API清單進(jìn)行比對(duì)，以及時(shí)發(fā)現(xiàn)未知的API和僵尸API。同時(shí)，對(duì)API接口實(shí)現(xiàn)分類、分組、并指派責(zé)任人，實(shí)現(xiàn)數(shù)據(jù)分權(quán)管理；并提取API接口樣式，為API接口提供可視化展示。

風(fēng)險(xiǎn)二：API安全攻擊風(fēng)險(xiǎn)

不安全的API會(huì)持續(xù)擴(kuò)大應(yīng)用程序攻擊面，讓黑客更容易進(jìn)行偵察、收集配置信息以及策劃網(wǎng)絡(luò)攻擊。當(dāng)API面臨各種安全攻擊，企業(yè)如何進(jìn)行有效識(shí)別和防護(hù)？例如：API請(qǐng)求參數(shù)是否合規(guī)？API接口調(diào)用順序是否合規(guī)？

瑞數(shù)方案：面對(duì)多樣化的API攻擊，瑞數(shù)API安全管控平臺(tái)可以基于已知業(yè)務(wù)邏輯和依賴關(guān)系定義API接口調(diào)用順序，防止繞過業(yè)務(wù)邏輯的訪問行為，提前設(shè)置接口請(qǐng)求參數(shù)調(diào)用規(guī)則，拒絕非法的API請(qǐng)求參數(shù)調(diào)用，降低安全配置錯(cuò)誤，縮小攻擊面。同時(shí)，支持API安全攻擊檢測和防護(hù)，并引入語義分析技術(shù)，進(jìn)一步提高檢測準(zhǔn)確性。

風(fēng)險(xiǎn)三：敏感數(shù)據(jù)管控

如今針對(duì)API的攻擊已成為惡意攻擊者的首選，越來越多的黑客利用API竊取敏感數(shù)據(jù)并進(jìn)行業(yè)務(wù)欺詐。如果企業(yè)未對(duì)敏感信息等數(shù)據(jù)進(jìn)行脫敏處理，且未加密傳輸，一旦流量被截獲、破解，將對(duì)企業(yè)、公民個(gè)人權(quán)益造成嚴(yán)重影響。因此，企業(yè)需要更深入了解哪些API攜帶了什么類型的敏感信息；如何識(shí)別API訪問中的敏感數(shù)據(jù)；對(duì)API中的敏感數(shù)據(jù)，如何實(shí)現(xiàn)控制；如何應(yīng)對(duì)合規(guī)審計(jì)的要求等。

瑞數(shù)方案：為了更好地管控敏感數(shù)據(jù)，滿足合規(guī)審計(jì)需求，瑞數(shù)API安全管控平臺(tái)內(nèi)置敏感信息檢測引擎，覆蓋姓名、手機(jī)號(hào)、身份證、銀行卡、密碼等 18 種敏感數(shù)據(jù)類型，可以對(duì)敏感信息進(jìn)行自動(dòng)分級(jí)，實(shí)時(shí)洞察API接口中雙向傳輸?shù)拿舾袛?shù)據(jù)、明文密碼和弱密碼，并及時(shí)對(duì)API接口回傳報(bào)文中的敏感信息進(jìn)行脫敏處理，規(guī)避數(shù)據(jù)泄漏風(fēng)險(xiǎn)。

風(fēng)險(xiǎn)四：API異常訪問風(fēng)險(xiǎn)

隨著自動(dòng)化攻擊手段的不斷升級(jí)，企業(yè)即使建立了身份認(rèn)證、訪問授權(quán)、敏感數(shù)據(jù)保護(hù)等機(jī)制，有時(shí)仍無法避免黑客以機(jī)器模擬正常用戶行為來實(shí)施攻擊。面對(duì)以合法身份登錄、模擬正常操作、多源低頻的API訪問請(qǐng)求，企業(yè)能否察覺訪問行為是否異常？如何管理API的訪問行為，從API訪問中如何識(shí)別業(yè)務(wù)風(fēng)險(xiǎn)？針對(duì)異常訪問，又如何實(shí)現(xiàn)管控？

瑞數(shù)方案：以合法身份登錄、模擬正常操作、多源低頻的API訪問請(qǐng)求，是API攻擊很難被發(fā)現(xiàn)的重要原因。對(duì)此，瑞數(shù)API 安全管控平臺(tái)基于多維度實(shí)時(shí)監(jiān)控 API 接口的訪問行為，包括訪問成功率、耗時(shí)、TPS、并發(fā)數(shù)、攻擊事件等維度，建立API訪問基線，能夠及時(shí)發(fā)現(xiàn)偏離基線的異常訪問行為。同時(shí)，內(nèi)置的API業(yè)務(wù)威脅模型，可以透視API常見的業(yè)務(wù)威脅，如：撞庫、爬蟲等，高效準(zhǔn)確進(jìn)行人機(jī)識(shí)別。

風(fēng)險(xiǎn)五：實(shí)時(shí)安全防護(hù)

面對(duì)未知的、多樣化的API攻擊，企業(yè)需開啟實(shí)時(shí)安全防護(hù)，對(duì)API安全威脅進(jìn)行主動(dòng)發(fā)現(xiàn)和響應(yīng)，才能真正為業(yè)務(wù)筑起安全防線，例如：能否實(shí)時(shí)細(xì)粒度阻斷、熔斷各類風(fēng)險(xiǎn)？能否在實(shí)現(xiàn)防護(hù)同時(shí)不影響業(yè)務(wù)？

瑞數(shù)方案：基于企業(yè)對(duì)實(shí)時(shí)安全響應(yīng)和業(yè)務(wù)發(fā)展的需求，瑞數(shù)API BotDefender內(nèi)置靈活的API訪問控制策略，可基于API接口、API分組，API 管理責(zé)任人、源IP、訪問頻率、客戶端指紋、API令牌、UserAgent、HTTP請(qǐng)求特征等上百多個(gè)元素，對(duì)API接口實(shí)現(xiàn)精細(xì)化的訪問控制，支持多維度限頻、攔截、延時(shí)等，實(shí)現(xiàn)安全和業(yè)務(wù)的平衡。

目前，大多數(shù)企業(yè)在API安全應(yīng)對(duì)上主要依賴傳統(tǒng)的身份認(rèn)證、權(quán)限控管及請(qǐng)求內(nèi)容校驗(yàn)等安全機(jī)制，但黑產(chǎn)已經(jīng)實(shí)現(xiàn)各類攻擊資源高度的模塊化和市場化，使得企業(yè)無法從容應(yīng)對(duì)現(xiàn)有業(yè)務(wù)模式下API的各類新興威脅。

與傳統(tǒng)安全產(chǎn)品相比，瑞數(shù)API安全管控平臺(tái)（APIBotDefender）率先在業(yè)內(nèi)提出了“ADMP安全模型”方法論，從API“感知、發(fā)現(xiàn)、監(jiān)測、保護(hù)”四個(gè)角度出發(fā)，實(shí)現(xiàn)API數(shù)據(jù)傳輸、提供、公開的安全治理，體系化保障API安全。這彌補(bǔ)了各類產(chǎn)品的弊端，并具備多種核心優(yōu)勢：

自動(dòng)化API資產(chǎn)管理

傳統(tǒng)API網(wǎng)關(guān)主要實(shí)現(xiàn)鑒權(quán)和認(rèn)證，缺少API安全層面的發(fā)現(xiàn)和管控。

瑞數(shù)API安全管控平臺(tái)則可以快速自動(dòng)地發(fā)現(xiàn)API資產(chǎn)，并可實(shí)現(xiàn)API接口的高精度識(shí)別和樣式提取，對(duì)發(fā)現(xiàn)的API給出明確的認(rèn)定；同時(shí)，顯示出清晰的API列表，對(duì)API接口的訪問情況一目了然，幫助用戶實(shí)現(xiàn)API資產(chǎn)生命周期管理。

API多維度攻擊防護(hù)

傳統(tǒng)WAF基于規(guī)則庫，只能固守規(guī)則對(duì)安全攻擊進(jìn)行攔截，無法全方位透視業(yè)務(wù)威脅。

瑞數(shù)API安全管控平臺(tái)采用全程式安全威脅防護(hù)技術(shù)，基于語義分析規(guī)則綜合性地對(duì)異常行為進(jìn)行檢測分析，誤報(bào)率、漏報(bào)率明顯降低；通過流量分析和行為分析技術(shù)，精準(zhǔn)構(gòu)建API業(yè)務(wù)威脅模型。不僅覆蓋OWASP API Security Top10 的攻擊防御，且通過API業(yè)務(wù)威脅模型，能夠快速應(yīng)對(duì)諸如爬蟲、撞庫等各類API業(yè)務(wù)安全威脅。

行業(yè)性敏感數(shù)據(jù)管控

瑞數(shù)API安全管控平臺(tái)默認(rèn)自帶有多種類的敏感數(shù)據(jù)識(shí)別策略，覆蓋政府、金融、運(yùn)營商、醫(yī)療等行業(yè)幾十種常見敏感數(shù)據(jù)的識(shí)別，亦可根據(jù)行業(yè)用戶針對(duì)性業(yè)務(wù)特點(diǎn)進(jìn)行敏感數(shù)據(jù)自定義標(biāo)簽化數(shù)據(jù)，幫助用戶快速識(shí)別敏感數(shù)據(jù)。

動(dòng)態(tài)響應(yīng)防護(hù)

瑞數(shù)API安全管控平臺(tái)能夠?qū)艉彤惓Ｐ袨榈慕Y(jié)果或指定條件，進(jìn)行動(dòng)態(tài)響應(yīng)防護(hù)，提升通過逆向探測或機(jī)器學(xué)習(xí)分析等攻擊手段的難度。

高能性處理

瑞數(shù)API安全管控平臺(tái)從采集API數(shù)據(jù)、解構(gòu)API報(bào)文、聯(lián)系A(chǔ)PI上下關(guān)系等流程上優(yōu)化數(shù)據(jù)處理，能支撐超大流量環(huán)境的API治理，支持的業(yè)務(wù)訪問數(shù)（TPS）能力是傳統(tǒng)方式的 20 倍。