7億多Linkedln使用者的資料被在暗網售賣;Parler網站涉及1000萬使用者超過60T的資料洩漏;Clubhouse洩露130萬條使用者記錄……近年來Web應用資料洩露案例層出不窮,究其根因,其實是——API不夠安全。
所謂API,即應用程式介面(Application Programming Interface),可以應用於所有計算機平臺和作業系統,以不同的格式連線資料、呼叫資料。比如,消費者可以在電商平臺查詢所購商品的物流資訊,這實際就是電商平臺與物流公司之間使用“API位置實時呼叫”產生的效果。
在千行百業數字化轉型的背景下,API成為了數字化體驗的中心,APP、WEB網站和小程式等應用的核心功能、微服務架構等均離不開API的支援。不過,許多企業追求快速的API和應用程式交付,卻忽視了API安全保護。因此,針對API的攻擊也成為了惡意攻擊者的首選。
9月28日,騰訊安全正式啟動API安全公測,聯動騰訊Web應用防火牆、騰訊安全威脅情報、騰訊天御業務安全等能力,幫助企業全面識別API風險,針對性收斂API暴露面,構建全面、智慧、精準的API安全防禦體系。
API安全面臨四大挑戰
安全隱患往往藏於“未知”,API普遍應用於新業務、新場景、新環境之下,眾多企業使用者並不瞭解自己擁有多少API,就更別提保證每個API都具備良好的訪問控制策略,未知的殭屍API、未知的影子API、未知的敏感資料暴露等比比皆是。
據Gartner權威研報預測,到2022年API濫用將是最常見的攻擊方式;到2024年,API安全隱患導致的相關資料洩露將近乎翻倍。
目前來看,企業的API安全面臨四大挑戰,要求我們對API資產的全貌做清晰的盤點:
1、應用和邏輯遷移上雲,暴露更多攻擊面:相對於傳統資料中心的單點呼叫,企業服務上雲後,呼叫的來源和範圍更廣,東西向和南北向都可能成為API的攻擊面。
2、強調開發速度和靈活性,忽略構建API安全:更多企業轉向採取敏捷開發模式,但在提升軟體構建效率的同時,企業對於如何構建API安全性缺少合適的方法,難以顧及API安全。
3、內部介面缺少維護,引發多種攻擊隱患:開發應用時,可能會涉及大量的內部介面書寫,由於人員變動、缺乏維護等原因被忽略,給攻擊者留下突破口。
4、企業低估API風險,造成安全措施遺漏:構建應用的過程中,企業對於可能存在的安全風險較為樂觀,防護措施不足,低估了上線後API被攻擊的可能性。
(API安全面臨的四大挑戰)
而 OWASP 也根據可利用性、弱點普遍性、弱點可觀測性、技術影響、業務影響等維度梳理了十大最關鍵的 API 安全風險。從 OWASP API Security Top 10 我們也可以發現,如授權、身份認證、安全配置等風險,均是由於我們在設計到上線過程中沒有針對暴露面做好及時的收斂,因此意外造成的資料洩露、API濫用、許可權外洩等事件也難以遏止。
(OWASP API Security Top 10)
騰訊API安全產品
聚焦API防禦體系打造
騰訊API安全聚焦API防禦體系打造,以異常暴露面管理為首個突破重點,助力企業全面清點API資產、智慧發現API動態變化及風險趨勢、精準識別API暴露面及敏感資料,幫助企業收斂API暴露風險。
騰訊API安全識別異常暴露面的解決思路主要分成如下三個步驟:
1、摸清家底:透過流量分析,自動化清點API介面,動態盤點業務API呼叫關係,將殭屍API、影子API、涉敏API一網打盡。
2、洞悉風險:結合騰訊安全能力沉澱,洞悉業務流量中可能存在的風險問題,快速識別當前API業務場景,瞭解業務的風險趨勢及可能存在的漏洞威脅。
3、合規運營:持續識別 API引數暴露面,對各類敏感的引數資訊、後臺引數等進行持續檢測,包括但不限於銀行卡號、身份證號等資訊,防止敏感資訊洩露。
而異常暴露面發現的基石就是API的資產發現和流量分析能力,騰訊API安全解決方案具備如下五大優勢,可以對API風險進行發現及管控:
01: 零部署,即開即用
針對已接入WAF的域名,一鍵即可開啟API安全管控能力。
02: 資產全自動發現
實時分析業務訪問日誌,自動發現API資產並動態梳理資產用途、變化。
03: API業務場景識別
快速梳理發現敏感暴露面,如檔案上傳、業務回撥介面、優惠券分發、簡訊驗證碼傳送等場景,便於及時治理。
04: API流量分析
精準識別API請求方式、訪問場景、敏感引數資訊等,視覺化分析API風險概覽、請求趨勢、攻擊趨勢,提供針對性防護策略。
05: 聯動騰訊天御、威脅情報能力
內建騰訊天御業務安全能力、騰訊安全威脅情報能力,全面識別API資產的網路安全風險及業務安全風險,提供聯動防護。
快速參與公測
可掃描下方二維碼,申請免費體驗或直通產品經理交流