随着微服务架构的普及、开发向低代码/无代码转变,API的应用持续扩大。据统计,API请求已占所有应用请求的83%,预计2024年API请求命中数将达到42万亿次,API已经成为数字世界的基础设施。与此同时,API攻击呈现爆发态势。2021年API攻击流量增长了681%,而整体API流量增长了321%。既要API的开放,又要API的安全,成为了企业开展数字化业务的“两难困境”。
为了保障API安全,企业纷纷将建设API安全防护体系提上日程。但是,API的特性给企业带来了一些列的挑战。首先,API类型多、数量多。有研究显示,每家企业平均管理超过350种不同类型的API,单个复杂业务应用的API数量可达10W级。随着企业业务数字化水平的持续提升,API的类型和数量化还在快速增长中。其次,API安全漏洞多、访问流量大。不同类型的API存在不同的安全漏洞。由于API资产规模庞大、类型繁杂,企业往往难以及时修补这些漏洞,也难以及时相关的攻击行为。最后,API传输的敏感数据多,威胁感知难。API中传输着大量敏感数据,企业难以感知哪些敏感数据被访问,出现访问异常后也难以实时阻断,并对威胁进行分析溯源。
面对这些API安全风险,建设API安全监测平台,借助平台统一管理API安全资产、监测API攻击、保障数据安全成为了企业的必然选择。API安全监测平台作为企业管理API资产、保障API安全的重要工具,通常采用旁路部署,使用探针监测、分析网络和业务应用的API镜像流量。平台通常具备API资产发现、API资产画像、API脆弱性发现与修补、API攻击监测、数据安全分析等功能,帮助企业建立API安监测体系,保证自身的网络安全与业务安全。
API安全监测平台的核心功能主要包括API资产发现、API脆弱性分析、API攻击监测、数据安全分析。其中,API资产发现是API安全监测平台的基础功能。API安全监测平台基于流量基线和数据模型,自动发现API资产,对API进行梳理、分析和分类,建立API资产画像,以可视化方式展现API信息。针对API脆弱性问题,平台能够自动分析和发现系统中API的脆弱性问题,对API存在的越权、注入、失速和敏感数据暴露等漏洞进行检测,并提供对应的修补方案。针对API攻击,平台能够实时监控API访问情况,分析流量数据,识别风险行为,发出攻击报警。平台提供对API攻击的分析、溯源功能,帮助企业实现对API风险行为的全生命周期管理。针对企业的数据安全需求,A平台能够依照数据识别规则,检测API接口中双向传输的敏感数据。针对命中风险事件的IP、账号,平台能够联动安全产品,进行主路实时阻断。同时,平台支持对的访问取证,安全人员可对敏感数据进行追踪溯源。
API安全监测平台偏重于API安全的监测,多与偏重于策略与响应的API安全网关配合使用,在Web应用安全、企业内网安全、数据安全等场景下,保障企业数字化业务的安全。
当前,企业的Web应用通过API向合作方提供数据、服务。API安全监测平台能够对Web API进行脆弱性分析,检测API安全漏洞,并给出修补方案;能够实时监控Web API的访问情况,分析流量数据,基于API威胁模型识别风险行为并发出报警。
在企业内网安全场景下,针对企业内网中业务应用与业务应用之间的API,以及应用内部功能模块之间的API,API安全监测平台能够自动发现API资产,对API资产进行梳理、分类和聚合,完成API资产画像,帮助企业实现对API的全生命周期管理。API安全监测平台还能够完成API脆弱性分析、监测API攻击、识别敏感数据,帮助及时发现和处理潜在的API安全问题
针对企业的数据安全需求,API安全监测平台应能自动识别API接口中双向传输的敏感数据。针对命中风险事件的IP、账号,平台能够发出警报并联动安全产品,进行主路实时阻断,保障企业数据安全。API安全监测平台支持对的访问取证,安全人员可对敏感数据进行追踪溯源。
目前,API安全监测平台已经在金融、互联网、运营商都行业落地应用,取得了良好的实践效果。某股份制商业银行采用芯盾时代API安全监测平台管理企业的API资产,对原有API资产进行了全面的梳理,以功能、应用等多种维度聚合同类API,形成分类明确、路径清晰的API资产树,构建API资产画像,建立“全局可视、单点清晰”的API资产管理体系。借助API安全监测平台,该银行对所有API进行了脆弱性分析,修补了大量的API安全漏洞,有效提升了API安全水平。