RSAC2022 |深刻解读API安全若何破解困境

颁布功夫 2022-06-23

编者按：

在今年的RSAC中，，，，，，，以色列的API安全公司Neose入选创新十强，，，，，，，同样在2019年获得RASC创新十强的Salt Security，，，，，，，也是一家以API安全为主的公司。。。。。。。。本文8827太阳集团集联结合了自身丰硕的经验沉淀与实际堆集，，，，，，，为您深刻解读API安全，，，，，，，厘清API安全防护的解决之路。。。。。。。。

API面对的安全问题

OWASP在2019年颁布的 API TOP10风险别离是失效的对象授权、失效的用户身份验证、过度数据露出、资源缺失和速度限度、失效的职能级授权、批量分配、安全配置谬误、注入攻击、资产治理不当、日志监控不及。。。。。。。。针对这10类安全风险，，，，，，，列举部门利用道理和使用示例：

失效的对象授权：对象授权是一种在代码层面实现的接见节造机造，，，，，，，用于限杜酌户仅能接见其有权接见的对象，，，，，，，但入侵者能够通过扭转ID来攻击存在“失效的对象级授权”缝隙的API。。。。。。。。例如，，，，，，，由于没有美满的权限节造机造，，，，，，，入侵者能够在前后盾交互中，，，，，，，通过扭转链接中的ID致反节造API返回分歧的用户数据，，，，，，，因存在水平越权问题从而造成敏感信息泄漏。。。。。。。。

过度的数据露出：API在对查问进行响应的时辰返回了过多的敏感信息。。。。。。。。例如：某用户名查问接口，，，，，，，本应设计为只返回用户名，，，，，，，但现实向接口提议数据查问时却将用户所有信息均返回给客户端，，，，，，，造成数据泄露。。。。。。。。

资产治理不当：由于现代利用法式开发的交付周期较短，，，，，，，DevOps团队时时将更多的API部署到出产环境中，，，，，，，这带来了资产治理问题。。。。。。。。首先，，，，，，，向后兼容的要求迫使DevOps团队让旧版本API持续运杏祝。。。。。。。攻击者通常觊觎这些旧版本，，，，，，，钻安全查抄机造的空子。。。。。。。。同时，，，，，，，其他的API也可能未遵守数据治理政策，，，，，，，使其成为数据露出的关键入口点。。。。。。。。

API安全防护的解决之路

对比OWASP TOP 10和OWASP API TOP 10，，，，，，，发现这两部门有较大的沉合性，，，，，，，但是API业务的场景和架构越发复杂，，，，，，，所以Gartner针对API安全给出了一个参考建议：API安全能够由WAF和API网关两部门组成。。。。。。。。

微信图片_20220623131808.png

API安全防护架构及分工

在API安全解决规划中，，，，，，，作为WAF企衣反说，，，，，，，产品加强API安全防护能够从以下几个方面来思考：

1、API资产梳理和监控

发现API资产并进行逐一盘点和跟踪，，，，，，，成立API清单并鉴别每个API的用处，，，，，，，同时对于内部API和表部API进行区别对待；；；；；；；基于盘点的API清单进行接见战术的具体配置，，，，，，，尽量预防分歧的对象属性，，，，，，，使用一样的API战术。。。。。。。。

WAF产品上的API的资产治理，，，，，，，必要具备API和谈的鉴别、API资产的自动发现、矫捷的API资产分组、API资产的导入导出、API资产的下线处置、API资产接见的战术配置、自动化的API资产治理接口等基础能力。。。。。。。。

2、API攻击鉴别和防护

针对OWASP API TOP 10的安全风险，，，，，，，在WAF的API安全防护�？？？？？榈闹澳苌杓坪褪迪稚�，，，，，，，必要具备API要求合法性校验、防备撞库和暴力破解、API的对象体式的限度、可界说允许的响应数据类型、针对有关标识具备批改、多种防注入攻击、自界说检测规定等能力。。。。。。。。

在对API业务攻击上，，，，，，，注入类入侵占据了很大的比率，，，，，，，对于注入累入侵的检测能够通过特点检测、算法检测、AI检测等技术伎俩，，，，，，，协同作用实现精准的注入类入侵检测。。。。。。。。

3、API异常接见行为分析

行为特点提取是整个行为分析建模的基础，，，，，，，需结合现实的业务需要，，，，，，，以数据实体为中心，，，，，，，规约数据维度类型和关联关系，，，，，，，形成切合业务现实情况的建模体。。。。。。。。

基于异常行为分析，，，，，，，能发现无显著特点的攻击行为，，，，，，，或者是针对业务的异常接见，，，，，，，好比发现大量的数据传输、异常的接见对象、被攻击利用的过期API或者是僵尸API、过度露出的数据等。。。。。。。。

4、API接识趣能监控

API接识趣能监控可能在出现大量API要求的情况下，，，，，，，保障API的服务能正常工与系统的韧性。。。。。。。。

在API接识趣能监控中，，，，，，，一是必要能分辨正常业务接见和机械的接见流量，，，，，，，对机械的接见流量能够做过滤；；；；；；；二是处置正常接见的时辰，，，，，，，在某些特殊场景下必要做到要求限流、服务降级或者是有前提的服务熔断等操作，，，，，，，以最大限度保障API业务不彻底瘫痪。。。。。。。。

5、敏感数据鉴别和过滤

在API接见中会传输大量的数据，，，，，，，数据的传输分为正常接见和数据窃取等，，，，，，，对于正常的数据接见，，，，，，，能够在数据分级分类的情况下，，，，，，，在API安全网关上实现对数据的脱敏和混合等职能；；；；；；；对于数据窃取的情况下，，，，，，，必要鉴别异常的数据泄露，，，，，，，并阻断异常接见和衔接。。。。。。。。

API作为链接数据的一种便捷高效的方式，，，，，，，已经成为了IT和DT时期最沉要的利用模式之一，，，，，，，其承载的数据占有巨大的价值，，，，，，，也带来多种贸易模式蓬勃发展，，，，，，，引起了各类恶意组织和幼我大量的关注。。。。。。。。

随着国内表的数据安全律例、行业和组织的API安全规范的颁布与尝试，，，，，，，企衣珐大对API安全的需要，，，，，，，业务开发团队安全意识的提升，，，，，，，安全检测技术和安全解决规划的急剧发展和演进，，，，，，，都将为API链接的数据保驾护航，，，，，，，API安全防护能力将成为数据大厦的不变基座之一。。。。。。。。

幼贴士：

API：是指利用法式接口（Application Program Interface），，，，，，，是一种法式之间的接口，，，，，，，因其便捷性和微服务架构，，，，，，，得到了宽泛的利用，，，，，，，目前已覆盖了移动利用法式，，，，，，，物联网IOT，，，，，，，云服务客户端，，，，，，，内部利用法式，，，，，，，合作同伴利用法式等IT领域的多个方面。。。。。。。。

API安全：通过对API通讯行为的采集、监控、防御等伎俩，，，，，，，发现并收敛API出产过程中的风险，，，，，，，拦截针对API的缝隙攻击及数据窃取行为。。。。。。。。

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

8827太阳集团

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系8827太阳集团

关于8827太阳集团