En 400-6655-581
5
返回列表
> 資源中心 > 文章>產(chǎn)品>API> 企業(yè)如何在API搭建的“數(shù)據(jù)公路”上安全“行駛”?

企業(yè)如何在API搭建的“數(shù)據(jù)公路”上安全“行駛”?

文章

2023-12-04瀏覽次數(shù):274

 

隨著移動(dòng)APP、微服務(wù)架構(gòu)、云、物聯(lián)網(wǎng)的興起,企業(yè)API數(shù)量呈爆發(fā)式增長(zhǎng)。作為數(shù)字世界的連接者,API為企業(yè)搭建起了一條內(nèi)外相連、四通八達(dá)的“數(shù)據(jù)公路”。

 

一方面,API確實(shí)讓企業(yè)更低成本地打通內(nèi)外部數(shù)據(jù),并利用云市場(chǎng)的服務(wù),敏捷響應(yīng)客戶(hù)需求,讓用戶(hù)操作越來(lái)越高效、便捷、豐富......

 

另一方面,API的指數(shù)級(jí)增長(zhǎng),讓運(yùn)維管理越來(lái)越難,安全暴露面越來(lái)越大、風(fēng)險(xiǎn)越來(lái)越高。

 

企業(yè)到底有多少API?這些API的狀況如何?是否存在僵尸API、影子API、無(wú)效API?是否存在API濫用?這些API真的安全嗎?有沒(méi)有敏感數(shù)據(jù)在這條“數(shù)據(jù)公路”上瘋狂“裸奔”......

 

 

 

1.

API安全危機(jī)到了什么程度?

 

實(shí)際數(shù)據(jù)調(diào)查再次證明上述擔(dān)憂(yōu)是有必要的。

 

一項(xiàng)國(guó)際權(quán)威調(diào)查表明,2021年API攻擊流量在一年中增長(zhǎng)了 681%,94%的所有失竊數(shù)據(jù)涉及API暴露安全,95%的企業(yè)都經(jīng)歷了API安全事件。

 

Gartner研究調(diào)查則顯示,2022年超過(guò)90%web應(yīng)用程序遭到的攻擊來(lái)自API,并預(yù)測(cè)API濫用將成為導(dǎo)致企業(yè)Web應(yīng)用程序數(shù)據(jù)泄露的最常見(jiàn)攻擊媒介。到2024年,API濫用和相關(guān)數(shù)據(jù)泄露將幾乎翻倍。

 

2023年,最新發(fā)布的企業(yè)數(shù)據(jù)調(diào)查顯示,由API引發(fā)的網(wǎng)絡(luò)攻擊面正在持續(xù)增加,60%的受訪企業(yè)發(fā)生過(guò)與API相關(guān)的安全事件,其中74%的組織存在3次或以上的安全事件。

 

顯然,API搭建的這條“數(shù)據(jù)公路”并不安全。企業(yè)要想在這條“數(shù)據(jù)公路”上持續(xù)安全平穩(wěn)“行駛”,首要前提是解決API安全問(wèn)題!

 

 

 

2.

如何自動(dòng)化全面摸清API資產(chǎn)?

 

眾所周知,一個(gè)應(yīng)用會(huì)涉及多個(gè)不同類(lèi)型API,有的復(fù)雜應(yīng)用接口甚至多達(dá)數(shù)萬(wàn)個(gè)。企業(yè)為驅(qū)動(dòng)業(yè)務(wù)開(kāi)放共享、創(chuàng)新業(yè)務(wù)服務(wù)增長(zhǎng),還在不停增加API的使用。

 

正如我們對(duì)企業(yè)API數(shù)量描述的含糊其辭,其實(shí)正是大多數(shù)企業(yè)API的管理現(xiàn)狀——企業(yè)不清楚自己擁有多少API,也不知道API處于什么狀態(tài)。

 

這時(shí)候,就需要采用類(lèi)似派拉軟件API安全監(jiān)測(cè)平臺(tái)這樣的自動(dòng)化、智能化工具。

 

平臺(tái)通過(guò)旁路部署完成流量收集、解析、監(jiān)測(cè),幫助企業(yè)自動(dòng)發(fā)現(xiàn)API資產(chǎn),并根據(jù)企業(yè)在平臺(tái)上定義的類(lèi)別和規(guī)則(如功能、應(yīng)用、數(shù)據(jù)敏感度等),對(duì)API進(jìn)行業(yè)務(wù)分類(lèi),形成分類(lèi)明確、路徑清晰、資產(chǎn)全清的可視化API資產(chǎn)樹(shù)形圖。

 

在流量分析中,還能發(fā)現(xiàn)影子/僵尸  API(即未知的  API)、弱API、無(wú)效API等,監(jiān)測(cè)每一個(gè)API安全情況,形成業(yè)務(wù)API、應(yīng)用級(jí)API、全局API三大維度的API畫(huà)像,幫助企業(yè)多維度、多視角地摸清、梳理出企業(yè)API資產(chǎn)與實(shí)時(shí)狀況。

 

 

 

3.

如何有效應(yīng)對(duì)API安全攻擊?

 

我們都知道,API擴(kuò)大企業(yè)安全攻擊面的一個(gè)重要原因是,API 本身是暴露在網(wǎng)絡(luò)上的。這時(shí)候,如果在API與外部網(wǎng)絡(luò)之間加一個(gè)安全隔離——API安全網(wǎng)關(guān),就可以很好地解決這個(gè)問(wèn)題。

 

派拉軟件通過(guò)API安全網(wǎng)關(guān)實(shí)現(xiàn)所有的流量代理,可以對(duì)所有流量進(jìn)行加密傳輸,這樣可以避免API直接暴露給第三方或者移動(dòng)端應(yīng)用,減少外部對(duì)API的暴露面和受到直接攻擊的風(fēng)險(xiǎn)。

 

此外,API安全網(wǎng)關(guān)有很強(qiáng)的安全防護(hù)能力。例如,當(dāng)流量經(jīng)過(guò)API安全網(wǎng)關(guān)時(shí),網(wǎng)關(guān)通過(guò)速率限制來(lái)防止DoS攻擊;隨后啟動(dòng)身份驗(yàn)證,確保正確的身份才能通過(guò);通過(guò)之后,并不意味著就可以訪問(wèn)后端所有數(shù)據(jù),而是經(jīng)過(guò)訪問(wèn)控制判斷是否有權(quán)限訪問(wèn)以及有哪些權(quán)限;整個(gè)過(guò)程,后臺(tái)有審計(jì)日志記錄所有請(qǐng)求與結(jié)果。

 

值得一提的是,派拉軟件API安全網(wǎng)關(guān)還可以與API安全監(jiān)測(cè)平臺(tái)進(jìn)行協(xié)同,對(duì)企業(yè)數(shù)據(jù)進(jìn)行安全防護(hù),安全監(jiān)測(cè)軟件嵌入50+的AI漏洞檢測(cè)模型,30+的弱點(diǎn)分析基線,對(duì)異常行為、威脅行為、敏感字符進(jìn)行安全檢測(cè)、形成安全檢測(cè)報(bào)告;

 

結(jié)合接口不同安全等級(jí),配置相應(yīng)API安全策略,并下發(fā)給API安全網(wǎng)關(guān)進(jìn)行防護(hù),并對(duì)安全風(fēng)險(xiǎn)及時(shí)告警,支持短信、郵件、企業(yè)微信等告警信息通知。

 

 

 

4.

如何探測(cè)并防護(hù)API敏感數(shù)據(jù)?

 

當(dāng)前,利用API竊取敏感數(shù)據(jù)并進(jìn)行業(yè)務(wù)欺詐已經(jīng)成為黑客最常用的攻擊方式之一。若敏感數(shù)據(jù)不經(jīng)任何脫敏、加密等操作,無(wú)異于在API構(gòu)建的這條“數(shù)字公路”上“裸奔”。

 

派拉軟件API安全網(wǎng)關(guān)通過(guò)對(duì)敏感數(shù)據(jù)加解密、加驗(yàn)簽、數(shù)據(jù)過(guò)濾、數(shù)據(jù)脫敏、數(shù)據(jù)驗(yàn)證等數(shù)據(jù)安全措施,加強(qiáng)敏感數(shù)據(jù)的安全防護(hù)。

 

結(jié)合派拉軟件API安全監(jiān)測(cè)平臺(tái),通過(guò)敏感數(shù)據(jù)識(shí)別引擎實(shí)時(shí)分析、判別請(qǐng)求數(shù)據(jù)與響應(yīng)數(shù)據(jù)中流轉(zhuǎn)的敏感參數(shù)信息,智能識(shí)別身份證、手機(jī)號(hào)、銀行卡號(hào)等敏感數(shù)據(jù),分析并統(tǒng)計(jì)全盤(pán)API敏感數(shù)據(jù)態(tài)勢(shì),實(shí)現(xiàn)對(duì)敏感數(shù)據(jù)傳輸、共享、使用等全過(guò)程安全監(jiān)控。

 

有了以上三大安全保障,企業(yè)內(nèi)部這條由API架起的內(nèi)外四通八達(dá)的“數(shù)據(jù)公路”才算打好了安全基礎(chǔ)底座,企業(yè)數(shù)據(jù)、業(yè)務(wù)才能安全、有序、高效地在這條“數(shù)據(jù)公路”上快速平穩(wěn)“行駛”!