第三媒體軟件中心軟件網絡資訊互聯網資訊 → API成數據安全最大風險敞口 如何打贏“數據保衛戰”? TTL

API成數據安全最大風險敞口 如何打贏“數據保衛戰”?

上傳:miyo西     來源:信息存儲服務     日期:2021-08-17

[摘要]  
   7月10日,《網絡安全審查辦法(修訂草案征求意見稿)》公開征求意見;今年9月1日,《中華人民共和國數據安全法》就將開始實施……在此背景下,國家和企業對于數據保護和安全建設的訴求已經提升到一個全新層次。
 
[正文]    

   如今,數據已成為新興的生產要素,是國家基礎性和戰略性資源,隨之而產生的數據安全需求也愈發凸顯。自2021年初,國家網信辦、工信部、公安部等多部門對數據安全、網絡信息安全等涉及到國家安全的領域密集出臺相關監管措施,從上至下編織起“數據安全”和“網絡安全”兩張大網。

   7月10日,《網絡安全審查辦法(修訂草案征求意見稿)》公開征求意見;今年9月1日,《中華人民共和國數據安全法》就將開始實施……在此背景下,國家和企業對于數據保護和安全建設的訴求已經提升到一個全新層次。而作為連接數據和應用之間的重要通道,API正在成為攻擊者眼中撬開數據“蜜罐”的開瓶器。

   API成數據安全最大風險敞口 如何打贏數字時代的“數據保衛戰”?

   在數字時代下,無論是互聯網商業創新還是傳統企業數字化轉型,都推動了API經濟。可以說,API就是傳統行業價值鏈全面數字化的關鍵技術,其連接的已不僅僅是系統和數據,還有企業內部職能部門、客戶和合作伙伴,甚至整個商業生態。但是,API目前所面臨的嚴峻安全挑戰,卻很容易被管理者所忽視,也并無過往的應對經驗。

   從只用于企業內部服務調用的API 1.0時代,到面向服務架構的API 2.0時代,再到如今成為開放平臺和云原生微服務的API 3.0時代,API已經逐步從限制性的局部接口,轉向更大和更廣的開放。這為開發者帶來了諸多好處,比如可公開獲取、標準化、高效且易于使用等,但同時其自身的風險敞口進一步擴大。Gartner在其《如何建立有效的API安全策略》報告中預測,“到2022年,API濫用將成為導致企業Web應用程序數據泄露的最常見攻擊媒介。”

   近年來,越來越多的攻擊者正利用API來實施自動化的“高效攻擊”,由API漏洞利用的攻擊或安全管理漏洞所引發的數據安全事件,嚴重損害了相關企業和用戶權益,逐漸受到各方的關注。比如:2021年4月,Facebook平臺上的5億用戶數據泄漏,涉及信息包括用戶昵稱、郵箱、電話、家庭住址等信息,事后判定為業務接口泄漏。時隔2個月,另一著名社交平臺LinkedIn領英,有超過7億用戶數據在暗網出售,涉及用戶的全名、性別、郵件以及電話號碼、工作職業等相關個人信息。據悉,部分數據也是通過API泄露獲取。2020年,微博的3.5億數據泄露,就是來自于終端APP的業務邏輯API被非法流量調用超過40億次而導致。2020年,印尼最大的電商網站Tokopedia 9100萬用戶信息泄漏,里面涉及到用戶曾經瀏覽到商品信息和訂單信息,也為業務接口泄漏。由于API既能夠起到連接服務的功能,又可以用來傳輸數據,因此,API的安全防護非常重要也非常敏感。

   整體來看,API所面臨的風險包括:憑據失陷、越權訪問、數據篡改、違規爬取、數據泄露等諸多安全風險。從API的安全訪問流程上進行評估,實施的防護措施應包含有效的身份認證、可控的訪問授權、針對特定數據返回結果的篩選、訪問異常行為檢測及響應等。而在大多數業務場景下,API在對外提供服務時并沒有部署良好的防護機制。究其原因,一方面是由于業務的快速迭代,安全負責人無法完整掌握API的使用情況、業務與安全存在割裂;另一方面是對現有API進行安全改造的成本巨大。未來,API在數字化轉型中扮演的角色將愈發重要,因此亟需有效的解決方案對開放共享的數據核心資產提供保護。

   然而,對于API的安全管控也并非易事。難題在于,盡管大多數安全從業者會建議隱藏資源、減少暴露面和攻擊面,但業務上成功部署的API卻傾向使資源更加開放和可用。并且隨著云原生時代的到來,微服務核心架構下,API成為服務交付的必選,API遭遇的安全困局實際上也是現代網絡安全面臨的一個共性問題,對安全團隊而言,既不能因為保護業務而讓系統變得封閉,又要將API風險敞口保持在可控范圍之內,這就需要制定平衡業務與安全的API風險管理策略,并搭建功能完善、具備彈性的安全管控平臺。

凡事預則立不預則廢 安全管控平臺將風險化解于無形

   API風險管控雖不易,卻仍有跡可循。

   國內創新安全廠商瑞數信息認為,API管控應做到內化于心、外化于行。在內部做到心中有數,在外部做到知行合一。

   API的安全防護離不開業務層面上對API的開發管理。一般來說,API的安全開發需要開發人員具備API安全開發的知識和意識,并遵循安全開發規范對API進行開發和部署。例如使用基礎的用戶名密碼的方式進行身份驗證,或者通過API密鑰即令牌字符串進行安全防護,或者基于OAuth框架進行用戶身份信息的驗證以及基本信息的校驗。

   不僅在開發層面,事實上,對API的安全管控是一件從開發、應用,到運營、維護,整個階段都要參與和防護的過程,這一點和傳統的網絡防護有所區別又有相似之處。在此背景下,瑞數信息創新地推出API安全管控平臺——API BotDefender,致力于幫助企業做到對API安全風險的可知和可控。

API成數據安全最大風險敞口 如何打贏“數據保衛戰”?


   有別于很多單純從API安全網關角度切入的安全廠商,瑞數信息在技術路線上將攻擊的防御能力與AI智能的數據分析能力進行全面融合,由此推出具有API感知、發現、監控、保護能力的API BotDefender,是一種結合了以上兩種API安全方案優勢的創新方案。該平臺包括API資產管理、攻擊防護、敏感數據管控和訪問行為管控四大模塊,為API接口提供完整的安全管控方案。

API成數據安全最大風險敞口 如何打贏“數據保衛戰”?


   在資產管理模塊中,實現對API資產的統一管理。API資產管理基于數據建模自動發現被保護站點的API資產,對API資產進行梳理、分析和上下線,幫助客戶實現API資產的生命周期管理。

   攻擊防護模塊綜合利用智能規則匹配及行為分析的智能威脅檢測引擎,持續監控并分析流量行為,有效檢測威脅攻擊。智能威脅檢測引擎在用戶與應用程序交互的過程中收集數據,并利用統計模型來確定HTTP請求的異常。一旦確定異常情況,智能引擎就會使用機器學習獲得的多種威脅模型來確定異常攻擊。

   敏感數據管控模塊會對API傳輸中的敏感數據進行識別,針對敏感數據可以進行脫敏處理或者實時攔截,防止敏感數據泄露。

   訪問行為管控模塊將對API接口的訪問行為進行分析,通過多維度建立API訪問基線、API威脅建模,發現異常訪問行為,避免惡意訪問和接口濫用造成的業務損失。

   完備的模塊功能讓API BotDefender能夠實現從API接入的客戶端到API服務器端的全程式API安全威脅防護。API BotDefender不僅可以快速自動地發現API,并且針對發現的API給出明確的認定,還可以顯示出清晰的API列表,對API接口的訪問情況一目了然。同時,通過精準地構建API畫像,可以快速預覽各個業務的API情況,包括使用情況、異常情況、訪問來源等,并且可根據行為分析的結果或指定條件,進行動態響應防護,提升通過逆向探測或機器學習分析等攻擊手段的難度。

   一個優秀的安全管理平臺不僅要與業務有良好的契合度,具備強大的安全管控能力,還要容易部署和運維。在部署方式上,API BotDefender非常靈活,支持串聯及旁路鏡像的方式,以及軟件、硬件和云等多種模式,可以大大降低部署、管理和維護成本。同時,占用資源少,不影響服務器的正常運行,可以實現應用無感知部署。

   如今,API安全已經成為企業時刻需要關注的安全問題,缺乏良好防護策略的API服務,不僅會對用戶的使用體驗以及個人隱私帶來威脅,而且還會使企業面臨未知的安全風險。為了提高API安全性,開發人員需要在設計和開發階段,對API的安全性進行良好的構建和設計。對于管理人員來說,則可以使用API安全管控平臺這樣的安全工具,從而可以更好地對未知風險進行檢測和防護,做到未雨綢繆、防患于未然。

   (新聞稿 2021-08-17)


頻道首頁 】【 評論 】 【 打印 】 【 字體:
   上一篇:健康之路攜手頭部平臺探索互聯網醫院運營升級之路
   下一篇:氫能領域再爆大事件!百輛49噸氫能重卡正式投運容易線
導航:報價 | 大全 | 排行榜 | 產品大全 | 參量 | 訂閱 
 Advertisement
 十大最受關注的新聞
1  2021軟件百強企業前五:中興通訊“軟實力”凸顯
2  vivo X70系列正式發布 影像配置太懂用戶需求了
3  榮耀平板V7官宣!多屏協同功能或將迎來史詩級更新
4  廣東未來科技GLOBAL3 AI 3D立體數碼相機深度評測
5  孔子誕辰紀念日 榮耀平板V7帶領年輕人書寫《論語》傳承經典文化
6  榮耀MagicBook 16 Pro首銷爆火,高能生產力贏得用戶認可
7  富饒之城策略類桌游規則介紹及攻略技巧推薦!
8  自定義修仙世界!《以仙之名》10月14日開啟不刪檔測試
9  NBA 2K22測評,意外之喜的一代作品
10  “戰法道”打穿“端頁手” 《熱血傳奇加強版》將快樂強化三倍
 十大熱門驅動/軟件下載
1  [手機驅動]手機usb萬能
2  [熱門常用軟件]QQ2008正式版下載【騰訊QQ2008官方版Beta1】
3  [熱門常用軟件]E話通下載【E話通4.5 正式版】
4  [手機驅動]Samsung三星 手機USB驅動1.0版For Win98SE/ME/...
5  [手機驅動]Microsoft微軟 ActiveSync同步軟件4.5中文版Fo...
6  [攝像頭驅動]萬能攝像頭 FOR Windows
7  [熱門常用軟件]皮皮播放器下載【PPFilm皮皮播放器 2.1.0....
8  [手機驅動]諾基亞 PC套件下載
9  [熱門常用軟件]面對面游戲下載【面對面視頻游戲大廳】
10  [手機驅動]Microsoft微軟 Windows Mobile Device Center ...
 十大最受關注的品牌
1  三星手機(SAMSUNG)
2  諾基亞手機(NOKIA)
3  華碩筆記本(ASUS)
4  摩托羅拉手機(MOTOROLA)
5  英特爾CPU(Intel)
6  華碩主板(ASUS)
7  LG手機(LG)
8  索愛手機(Sony Ericsson)
9  聯想筆記本(lenovo)
10  宏碁筆記本(acer)
 十大熱門常用軟件下載
1  QQ2008正式版下載【騰訊QQ2008官方版Beta1】
2  E話通下載【E話通4.5 正式版】
3  皮皮播放器下載【PPFilm皮皮播放器 2.1.0.2版】
4  面對面游戲下載【面對面視頻游戲大廳】
5  DVD解碼器下載【NVIDIA DVD Decoder 1.02】
6  迅雷5下載【迅雷5.8.1.507官方版】
7  QQ2007 II正式版下載【騰訊QQ2007官方版本】
8  QQ2006正式版下載【騰訊QQ2006官方版本】
9  聯眾世界游戲大廳下載【聯眾世界2.7.0.8官方版】
10  MTV下載器【MTV下載精靈 8.31版】
11  pplive最新版下載【PPLive網絡電視V1.9.35版】
12  迅雷(Thunder)下載【迅雷v5.7.12.493官方版】
13  騰訊QQ2008下載【騰訊QQ官方版2008極速賀歲版KB1】
14  Total Video Converter下載【Total Video Converter v3.1...
15  QQ拼音輸入法下載【騰訊QQQQ拼音輸入法V1.4.1版】
16  皮皮高清影視播放器下載【PIPIPlayer 2.7.0.3版】
17  eMule下載【電驢eMule官方v0.49a正式版】
18  極點五筆輸入法下載【極點五筆6.1標準版】
19  QQ2009正式版下載【騰訊QQ2009 SP4官方版】
20  Vagaa哇嘎畫時代版下載【哇嘎 2.6.5.10】
   >> 查看評論   
 
   >> 查看更多評論   [共有0條評論]
發表評論
        
        
   點評:
   姓名:  
            字數: 0
     
新聞精選
·“小米可樂”更名回歸 為了更遠的征程
·行業伙伴齊聚2021抖音電商服飾新風潮峰會,共
·金秋超值購狂補百億助力國貨爆發 聚劃算百億
·騰訊安全雙“管”聯動,打造反欺詐聯防聯控解
·《野性之美》國家公園和保護區主題攝影展開幕
·云上共生 智領未來 2021中軟國際云服務大會即
  ·預見5G共贏未來,品速智聯品牌暨2021新品發布
·放榜!瑞數信息斬獲“2021年網絡安全優秀創新
·微步在線OneDNS企業版,以SaaS加速企業DNS安
·以針代筆,以線為墨——彭水苗繡跨界演繹時代
·中軟國際首辦云服務大會,“卡點”中國數字經
·大家居產業數字化變革 三維家聯合中國科大打

相關文章

更多檢索

其他

系列