API承担着连接服务和传输数据的重任,在通信、政务、金融、交通等诸多领域得到广泛应用。API涉及包含敏感信息、重要数据在内的数据传输和操作、各种业务策略的制定环节等,数据敏感程度不一,API安全管理面临巨大压力。近年来,API更是呈现爆炸式增长。据Akamai说,API通信现在占所有互联网流量的83%以上。
1 推动API增长井喷的因素:低代码、微服务和生态建设
Swagger、SoapUI和Open API Initiative的赞助商SmartBear第三次发布了有关全球API趋势的年度报告。显见,全球大流行和不断发展的API已显著影响团队经验。他们到底如何实现数字化转型?这是API开发人员、架构师、测试人员和产品潜在客户的焦点。
SmartBear报告告诉我们,目前,API的创建在IT服务和咨询、金融服务、计算机硬件和软件这三个领域是处于领先地位的,他们分别占到28%、14%和13%。电信、公用事业、零售、医疗、制造业等也加速API的构建,以其提供建立数据和应用之间的数字桥梁、改善客户体验、加速营运数字化和数字化转型等等。
推动API应用快速井喷的因素,我认为主要有三个:低代码、微服务和生态建设。
首先,由于代码复杂性是大量公司需要解决的一个障碍,低代码解决方案加速了API创建的友好性。目前。恐怕有超过50%的应用依靠API技术,如果不深入研究API等数字技术,就很难成为一家具有竞争力数据运营商。
SmartBear报告还告诉我们,API的主要动机是在团队、工具和系统之间的内部集成、产品或服务中扩展功能、建立生态、减少成本和时间。API已然成为提高公司利润的一种方法。
其次,软件系统的微服务架构促进了功能开发、整体灵活性和开发速度。微服务成为推动最短期的API增长,远高于其他替代方案。一方面,微服务架构越来越成为后端开发的标准,另一方面,微服务也成为构建未来复杂系统的标准。
再次,生态建设促使数据中心和平台考虑开放的共享API,以其获得更多的开发者和创业公司的追随,从而获得统一环境的生态体系。对于所有开发者来说,公共API和类似的在线目的地都是非凡的资源。
现如今,API保持强劲并以惊人的速度在增长,建立具有凝聚力的数据共享交换的数字景观可能根本不是梦寐以求的事情。
2 所有的馈赠都在暗地里标好了价格,API成为组织数据泄密的重大渠道
数据中心、数据大集中是大数据发展过程中一个伟大的举措,也为平台建设者、运营者和数据运营者成为商业霸主创造了巨大的优势,并且为各类应用、数据运营、数据共享带来了巨大的收入。
API是平台和数据共享中非常重要的技术通道,是数字化转型的基础,它供开发者、应用程序接入平台并访问平台和数据中心上的数据,数据得以全面的流动并产生价值。但同时也提供了访问公司数据的多种途径,成为诸多安全问题的根源所在。
API允许轻松地机器对机器通信,开发者不用再从无到有自己构建所有功能,可以加快新产品及服务的开发过程。但是,API的安全却成为了一个很多人都不知道的话题。
所有的馈赠都在暗地里标好了价格。API助力的数据流动同样也标好了价格,有价格就会有付出,早晚而已。降低付出的唯一途径就是加强API的数据流转安全的监控和防范,别无二法,更无偷懒的捷径!
2021年5月,Pen Test Partners安全研究员Jan Masters发现,他竟然能够在未经身份验证的情况下,向Peloton的官方API提出可获取其它用户私人数据的请求,且用户的本地设备和云端服务器都如此不设防。这些数据中包括了详细的用户年龄、性别、城市、体重、锻炼统计数据,甚至可揭示用户在个人资料设置页面中设为私密的生日等信息。
由于API漏洞或安全管理疏漏导致的数据安全事件近年来越来越多,而且很多事件的影响范围很大,对相关企业和用户造成了严重损害。图一例举了几个比较著名且影响较大的API安全事件。
图一 近年来因API漏洞或安全管理疏漏导致的数据泄密事件频繁
这些事件给部分企业敲响了警钟,已经开始了积部署API安全策略和工具来应对日益严峻的安全形势。遗憾的是,还有更多的组织至今还没意识到增长的API正在成为组织数据安全的重大隐患。
除了图一的典型API安全问题的例子外,Peloton、Equifax、Instagram、Facebook、Amazon、Paypal、Panera、Fiserv、LifeLock以及Kay Jewelers等都发生过涉及API相关的安全问题。
上面列出的问题可能大多涉及的是:在启动Web服务和设置API变得更加容易的同时,API的安全性变得滞后。
事实上,即使开发人员都开始采用新的安全控制(实际上不可能),仍然可能存在老旧的系统。老旧系统中过时的僵尸API依然会带来了巨大的安全风险,
另外,不少原计划只做短期使用却未及时退役的API也将给数据安全带来很大的风险。
没有人可以保护自己并不知道的东西!我们必须清楚地知道自己拥有什么才能保护它,这是头等大事。此外,我们希望API安全防护能提供API可视化的大量信息,而API网关似乎不能很好地解决。华云数创科技有一个客户,过去一直采用AWS API网关来处理API的安全问题,他们尝试了很多方法,但都不如人意。
经过与华云数创科技的沟通,他们发现“API接口数据流转监控与风险评估”解决方案是一种易于部署且不会妨碍开发、管理、使用团队的技术。
他们原本计划2022年再将原系统集成到华云数创科技的解决方案中,但是最终还是将计划提前到了2021了。他们告诉我的原因是:他们越来越发现API的攻击面正在面临危险,他们担心恶意行为者也发现了这些攻击面,甚至是很多他们没有看到的并不知道的攻击面,他们没有时间去冒险了。
图二 华云数创(北京)科技有限公司之“API接口数据流转监控与风险评估”系统
该华云数创的解决方案在API网关处侦听流量、获取日志和元数据,并将报告发送到“API接口数据流转监控与风险评估”解决方案的仪表板以进行警报和报告,这使得他们获得了很好的API安全可见性。该系统可自动触发动作,可以发送报告供安全人员手动查看,可以做合规的自查自测,还可以查找潜在的API泄漏,还可以捕获API是否提供了并非必要的信息等等。“API是否提供了并非必要的信息”,这一点是数据共享交换中特别需要注意和牢记的。
3 数据风险管控不只是防御,更重要的是保护数据资产价值
Salt Security的报告显示:1、有91%的组织存在与API相关的安全问题。最常见的是漏洞(54%)、身份验证问题(46%)、僵尸程序(20%)以及拒绝服务(19%)。2、80%的组织认为他们的安全工具不能有效地防止API攻击。3、三分之二的组织由于与API安全相关的担忧而减缓了将新应用程序投入生产的速度。4、即便是拥有Web应用程序防火墙(WAF)和API网关的所有Salt客户,每个月也都要经历多次API攻击,这就意味着这些安全工具已经阻止不了API攻击。5、WAF和API网关甚至已经阻挡不住OWASP AP安全Top10威胁中90%的因素。6、超过四分之一的组织正在没有任何安全策略的情况下运行基于关键API的关键应用程序。7、82%的组织对了解API详细信息缺乏信心。例如,API是否包含个人身份信息,客户专有网络信息等。8、22%的组织表示他们无法知道哪些API公开了敏感数据。传统的前端应用程序(网站和移动应用程序)具有针对攻击者的保护措施,其中包括针对DDoS、凭据填充和其他自动攻击的防御,但
如果API不受保护的话,同样会危及前端安全。通过API获取数据的攻击越来越受到黑客的欢迎,因为这种攻击更加匿名,而且API的保护程度通常不及网站和移动应用程序,
机器人对API的攻击更是普及。不少企业认为他们的技术能提供适当的保护,而实际上他们使用的工具本身并没有准备好应对挑战,甚至,如今的API安全性就如同2009年之前的应用程序安全性。好消息是:
人工智能可助力抵御这种情况。
图三 API接口安全防护的难点
如今,通过华云数创科技团队的协作和努力,将人工智能和机器学习等融入数据安全防护,其“
API接口数据流转监控与风险评估”解决方案,通过对API访问风险及数据传输风险进行持续监测,全面评估业务系统、数据接口、数据分类的数据安全风险态势,面向API安全风险,弥补和解决了WAF和API网关方案的不足。读者有兴趣可以参见我们的以下两篇文章:
API成为攻击者眼中的密钥,数据中心如何正面应战?
是时候解决信息孤岛问题了,聊聊SDK和API
通过华云数创科技的工具可以实现“让每一个人都能成为安全团队的成员”的目的。帮助组织实现通过工具、自动化、扫描技术和遥测监视的愿望,确定API的调用方式,并寻找出可能表明恶意滥用的异常行为。从多维度进行态势分析和问题呈现,包括依法治理、数据收集、超范围收集、隐私政策、API梳理、敏感数据流、敏感数据映射等等,确保数据通过API接口共享流转过程中的安全合规!
4 结束语
目前API安全事件层出不穷,无论组织现在处于API优先使用还是刚刚开始API辅助的数字化转型阶段,了解并重视API的漏洞及相关风险都是直观重要的。做好API数据流转的安全监控与风险评估管理,既是政策、法律、法规、合规的要求,也是企业自身利益的要求,我们已经没有太多的时间去等待了,因为API的风险敞口已经打开,API的攻击面正在迅速的变大再变大。
(部分内容来源网络,如有侵权请联系删除)
