API到底是什么?
API,中文名稱叫應(yīng)用程序編程接口,是現(xiàn)代移動(dòng)、SaaS 和 Web應(yīng)用程序的一個(gè)關(guān)鍵組成部分。聽(tīng)起來(lái)很晦澀難懂,但其實(shí)我們每個(gè)人的生活都會(huì)接觸 API:早上出門,打開(kāi)手機(jī)看看天氣,天氣APP需要通過(guò) API 提取數(shù)據(jù);到了公司,被安排出差,趕緊上網(wǎng)查票,購(gòu)票網(wǎng)站更新數(shù)據(jù)用的也是API;買好票后,打開(kāi)OA提交流程,OA應(yīng)用傳遞數(shù)據(jù)用的還是API……在數(shù)字經(jīng)濟(jì)時(shí)代,不論是內(nèi)部系統(tǒng)間的調(diào)用,還是各類數(shù)據(jù)匯集平臺(tái),都大量使用了API。
為什么黑客對(duì)API情有獨(dú)鐘?
為什么API總被攻擊者盯上?概括來(lái)說(shuō),有三個(gè)原因:一、目標(biāo)好找:API的職責(zé)就是應(yīng)用之間的調(diào)用,天然就是公開(kāi)且暴露的;二、攻擊潛在收益高:API攜帶大量重要數(shù)據(jù)和認(rèn)證信息,一旦攻擊者成功突破 API,可直達(dá)核心系統(tǒng)。三、攻擊防范較困難:大量的API權(quán)限控制不夠精細(xì),很容易被攻擊者找到漏洞,從而輕易繞過(guò)邊界防護(hù)。
由于API通常對(duì)應(yīng)著大量高價(jià)值數(shù)據(jù),也被各種自動(dòng)化的爬蟲(chóng)工具高度關(guān)注,平臺(tái)運(yùn)營(yíng)者飽受薅羊毛、數(shù)據(jù)竊取的干擾,而API的使用也常受到流量占用等威脅的影響,無(wú)法正常工作。
API安全防護(hù)怎么做?
在攻防對(duì)抗愈演愈烈的今天,怎樣讓API的安全保護(hù)更加精準(zhǔn)、有效?傳統(tǒng)的API安全防護(hù)依賴API網(wǎng)關(guān)與WAF、IPS類防護(hù)產(chǎn)品的配合,方案整合復(fù)雜并且針對(duì)性不足,在實(shí)戰(zhàn)當(dāng)中很容易漏防或誤報(bào),近年來(lái)逐漸被專用的API檢測(cè)和攻擊防護(hù)系統(tǒng)所替代。
作為專用的API檢測(cè)和攻擊防護(hù)方案,盛邦安全API資產(chǎn)識(shí)別及主動(dòng)防護(hù)方案為解決API安全防護(hù)問(wèn)題提供了新的思路:
- 主被動(dòng)結(jié)合的API資產(chǎn)發(fā)現(xiàn)能力,精準(zhǔn)識(shí)別API資產(chǎn)攻擊面
API資產(chǎn)的暴露面很廣,但運(yùn)營(yíng)者往往不清楚自己有多少API,也不確定哪些是廢棄的、測(cè)試的或是有漏洞的,單純通過(guò)人工梳理或網(wǎng)關(guān)搜集很難理清,并且無(wú)法掌握狀態(tài)變化。
盛邦安全API資產(chǎn)識(shí)別及主動(dòng)防護(hù)方案采用主被動(dòng)結(jié)合的學(xué)習(xí)方式,可以全面識(shí)別API資產(chǎn),一方面通過(guò)流量學(xué)習(xí)來(lái)梳理活躍的API數(shù)據(jù);另一方面通過(guò)主動(dòng)畫像的方式來(lái)發(fā)現(xiàn)暴露的API資產(chǎn),同時(shí)記錄API的狀態(tài)變化并結(jié)合用途屬性進(jìn)行分級(jí)分類,區(qū)分在用API、廢棄API、測(cè)試API、帶病API和未知API,最終形成動(dòng)態(tài)更新的API資產(chǎn)清單。
- 基于機(jī)器學(xué)習(xí)的API攻擊訓(xùn)練引擎,有效防范0day漏洞威脅
針對(duì)API的攻擊不同于傳統(tǒng)攻擊類型,并且API漏洞隱藏較深,通用的檢測(cè)方法難以形成有效防護(hù)。盛邦安全API資產(chǎn)識(shí)別及主動(dòng)防護(hù)方案利用機(jī)器學(xué)習(xí)算法,構(gòu)建了一套API攻擊訓(xùn)練模型,通過(guò)持續(xù)積累和更新攻擊邏輯來(lái)訓(xùn)練檢測(cè)引擎,形成對(duì)未知威脅的識(shí)別能力,有效防范0day漏洞的威脅。
- 基于人機(jī)識(shí)別的BOT攻擊檢測(cè)防護(hù),全面防范業(yè)務(wù)安全風(fēng)險(xiǎn)
相比其他類型的資產(chǎn)而言,API資產(chǎn)訪問(wèn)規(guī)則較為標(biāo)準(zhǔn),因此更容易遭受BOT攻擊,除了加強(qiáng)對(duì)API使用權(quán)限的鑒別和管控之外,盛邦安全API資產(chǎn)識(shí)別及主動(dòng)防護(hù)方案還利用人機(jī)識(shí)別的方法來(lái)發(fā)現(xiàn)各種自動(dòng)化腳本、爬蟲(chóng)工具和BOT工具,可以更準(zhǔn)確地區(qū)分正常調(diào)用與非法爬取行為,從而抵御BOT攻擊的干擾,提升業(yè)務(wù)安全的保護(hù)能力。
除了部署專用的API檢測(cè)和攻擊防護(hù)方案之外,企業(yè)還需要強(qiáng)化API的數(shù)據(jù)保護(hù),并進(jìn)行流量限制,這對(duì)于防范數(shù)據(jù)外泄、避免 API 濫用行為有著重要意義。
盛邦安全將基于在安全技術(shù)方面的長(zhǎng)期積累與創(chuàng)新,幫助企業(yè)更好地保護(hù) API 的安全可靠,保證業(yè)務(wù)調(diào)用與協(xié)同的安全。
