近日,由中国网络安全产业联盟(CCIA)主办的“聚焦攻防趋势,探讨安全热点”技术沙龙成功举办。瑞数信息首席安全顾问周浩受邀在本期沙龙上发表《API安全实践研讨》主题演讲,分享API安全在新型风险威胁下的实践落地经验。
本期技术沙龙结合CCIA《网络安全技术和产业动态》专报,邀请行业专家和研究学者,就软件供应链安全、元宇宙发展、应用程序接口(API)防护、数据安全管控平台等安全热点与业内专家学者展开研讨和分享。
瑞数信息首席安全顾问周浩表示,在数字时代下,无论是互联网商业创新还是传统企业数字化转型,都推动了API技术的发展。API从只用于企业内部服务调用,到面向外部服务调用,再到如今的对外公开调用,API已经逐步从限制性的局部接口,转向更大和更广的领域。其连接的已不仅仅是系统和数据,还有企业内部职能部门、客户和合作伙伴,甚至整个商业生态。API可公开获取、标准化、高效且易于使用的特性,为开发者带来诸多好处的同时,也极大地增加了应用系统新的风险,如何应对这些新的风险,是API安全实践落地的目的。
瑞数信息API安全防护
四大关键点
瑞数信息API安全管控解决方案从API接口资产管理、敏感数据管控、风险检测和访问行为分析四大关键点入手,实现API资产全生命周期的安全管控。
关键点一:API接口资产管理
- API 发现:通过API自动识别技术,对当前环境中的接口进行发现。
- API 资产分组:基于关键字快速分组,分组后指定责任人,实现资产管理闭环。
- API 导入和导出:从API网关、CMDB等导入API列表,同时可以将API清单导出。
- API 资产上下线:对API资产或分组,进行批量上下线,实现API资产管控。
关键点二:敏感数据管控
- 敏感信息识别:对API接口的回传报文进行识别,识别手机号、银行卡、身份证号等敏感信息。
- 敏感信息脱敏:对API接口回传报文中的敏感信息进行脱敏,对敏感信息进行打码,规避安全风险。
- 敏感信息拦截:对API接口暴漏的敏感信息进行拦截,多种拦截动作,如:阻断、退回特定页面等。
关键点三:风险检测
利用规则匹配和机器学习技术,智能威胁检测引擎持续监控和AI 建模,深入检测风险。以业务本身或黑产攻击的思路来实现API攻击画像,实现覆盖OWASP Top10的攻击防御,包括:SQL或远程命令注入、跨站脚本、XML外部实体、不安全的反序列化、使用含有漏洞的组件和Webshell木马上传等攻击。
关键点四:访问行为分析
通过多种方式采集用户身份信息、权限信息、关键应用日志与威胁情报等数据,利用大数据技术结合对抗神经网络的深度学习技术,结合多种复杂数据挖掘技术,进行用户行为建模分析,识别异常用户账号与业务异常访问行为,实现用户账号与行为威胁可视化。
目前,瑞数API安全管控平台已广泛应用于金融、快消、零售、运营商、能源等多个行业,为企业实现API安全管控和数据安全提供有力支持。未来,瑞数信息将持续打磨API安全技术和方案,为用户带来实实在在的价值,助力企业合规建设数据安全,有效抵御API新兴威胁。
