API數(shù)據(jù)安全風(fēng)險飆升！ 3場景1實踐看美創(chuàng)科技API-SMAC有效防護

有這么一個真實的案例，在某次實戰(zhàn)攻防演練中，防守方層層布防，搭建了十分健全的防御體系，本以為萬無一失，結(jié)果靶標(biāo)悄無聲息被拿下。事后溯源中才發(fā)現(xiàn)，一個存在未授權(quán)訪問的歷史API，成為了突破口，敏感信息被紅隊獲取，而防守方在備戰(zhàn)資產(chǎn)梳理時，并未發(fā)現(xiàn)這處疏漏。

一個疏忽的API放倒一眾“英雄”，不僅僅發(fā)生在實戰(zhàn)演練中。

在數(shù)字化進程的持續(xù)加速下，API承載著應(yīng)用各組件間數(shù)據(jù)的流動，成為數(shù)據(jù)交互最重要的傳輸方式之一，但隨著API的多樣性、復(fù)雜性在不斷增加，API資產(chǎn)理不清、風(fēng)險不可見、流轉(zhuǎn)不透明，暴露了比以往更多的敏感數(shù)據(jù)，成為黑客竊取敏感數(shù)據(jù)的利刃:

??不知道應(yīng)用系統(tǒng)的API接口有哪些?哪些API是僵尸API、活躍API?分別傳輸了哪些敏感數(shù)據(jù)資產(chǎn)?哪些API接口需要重點管理?--API資產(chǎn)理不清!

??API接口是否存在濫用或攻擊行為，如接口的過度調(diào)用、非法共享等問題?針對非法身份的調(diào)用是否經(jīng)過數(shù)據(jù)脫敏等去隱私化處理以防止批量泄漏?數(shù)據(jù)泄露是否能溯源?是否存在接口二次封裝的風(fēng)險?針對二次封裝的現(xiàn)象如何進行管控?--API調(diào)用時的數(shù)據(jù)安全風(fēng)險不可見!

??數(shù)據(jù)流轉(zhuǎn)過程是否得到有效監(jiān)測和追蹤?--數(shù)據(jù)流轉(zhuǎn)鏈路不透明!

聚焦于API訪問通道以及其中的數(shù)據(jù)流動安全，美創(chuàng)API安全監(jiān)測與訪問控制系統(tǒng)(API-SMAC)將API資產(chǎn)治理、身份治理、流量管控、訪問鑒權(quán)、機器學(xué)習(xí)等多種核心技術(shù)融合，幫助用戶梳理應(yīng)用中龐雜的海量接口，針對各類API的調(diào)用行為，繪制接口畫像和接口訪問軌跡，基于統(tǒng)一的敏感數(shù)據(jù)標(biāo)簽，監(jiān)測敏感數(shù)據(jù)流動風(fēng)險，識別接口調(diào)用的異常用戶行為，對風(fēng)險行為的精準(zhǔn)攔截，為應(yīng)用系統(tǒng)的業(yè)務(wù)數(shù)據(jù)合規(guī)正常使用和流轉(zhuǎn)提供「可知、可視、可管、可溯」的安全保障。

“理不清、不可見、不透明”?三個場景看API-SMAC關(guān)鍵能力

API資產(chǎn)及敏感資產(chǎn)全面治理

在大型組織或跨組織的環(huán)境中，如運營商等行業(yè)，API的數(shù)量和復(fù)雜性非常高，管理和監(jiān)控大量的API接口、不同團隊開發(fā)的API、版本迭代過程中的歷史API以及與外部合作伙伴共享的API，變得異常復(fù)雜和困難。

API-SMAC結(jié)合機器學(xué)習(xí)引擎進行智能流量分析，可持續(xù)自動化的探測和發(fā)現(xiàn)業(yè)務(wù)應(yīng)用及海量的API資產(chǎn)，幫助用戶清楚地感知全業(yè)務(wù)域有多少API、是否安全，實現(xiàn)API資產(chǎn)全景心中有數(shù)。

此外，API-SMAC內(nèi)嵌敏感數(shù)據(jù)識別智能算法，快速識別接口和應(yīng)用中流轉(zhuǎn)的敏感數(shù)據(jù)，對數(shù)據(jù)進行分類分級，為更精細化的安全防護提供依據(jù)。

基于異常操作行為的安全管控

在組織內(nèi)部，往往需要通過API進行不同部門、不同系統(tǒng)之間的集成和通信，以實現(xiàn)數(shù)據(jù)共享、業(yè)務(wù)流程協(xié)作等。但在內(nèi)部API之間傳輸?shù)臄?shù)據(jù)可能包含敏感信息，無論是由于疏忽、人為錯誤、主觀惡意還是其他任何原因，若對API的訪問控制不當(dāng)，就意味著數(shù)據(jù)外泄的風(fēng)險和價值損失。

API-SMAC基于訪問流量信息，實時監(jiān)測、識別、梳理各類訪問身份信息，結(jié)合機器學(xué)習(xí)等技術(shù)深度分析訪問上下文、訪問行為等因素，建立來訪身份畫像及訪問基線，系統(tǒng)基于分類分級結(jié)果，精準(zhǔn)識別敏感資產(chǎn)，結(jié)合脫敏、訪問控制、水印溯源等能力，可對不同API接口從請求頻次、獲取敏感數(shù)據(jù)次數(shù)、敏感數(shù)據(jù)量、訪問時段等實現(xiàn)多維細粒度安全管控防護。

數(shù)據(jù)流轉(zhuǎn)全鏈路風(fēng)險監(jiān)測追蹤

組織或服務(wù)提供商向外部開發(fā)者開放API接口，以構(gòu)建新的應(yīng)用程序或擴展現(xiàn)有應(yīng)用程序的功能，高度開放面臨著數(shù)據(jù)流動失控的風(fēng)險。此外，當(dāng)組織通過開放特定API與外部合作伙伴、客戶等進行數(shù)據(jù)交互、系統(tǒng)集成和業(yè)務(wù)合作，同時存在未授權(quán)應(yīng)用調(diào)用API接口或接口二次封裝的違規(guī)行為。

API-SMAC以數(shù)據(jù)安全為視角，全鏈路監(jiān)測API接口中的數(shù)據(jù)流轉(zhuǎn)情況，實時監(jiān)控API接口的各類風(fēng)險及安全態(tài)勢。

根據(jù)OWAS API SercurtiyTOP 10風(fēng)險，API-SMAC基于多種檢測分析引擎，內(nèi)置資產(chǎn)脆弱性、資產(chǎn)暴露面、越權(quán)訪問、異常機器行為、安全合規(guī)等風(fēng)險策略，對API數(shù)據(jù)流轉(zhuǎn)實時監(jiān)測與追蹤，確保數(shù)據(jù)流轉(zhuǎn)鏈路全程可視。

同時，API-SMAC可針對API接口中流轉(zhuǎn)的數(shù)據(jù)加注水印標(biāo)識，當(dāng)監(jiān)測到加注有水印標(biāo)識的數(shù)據(jù)被非授信應(yīng)用和接口訪問時，可進行告警并溯源責(zé)任到相關(guān)組織單位。支持API訪問全過程記錄與分析，支持HTTPS加密流量審計，快速定位風(fēng)險，精準(zhǔn)定位到人，支持大流量高并發(fā)審計保障業(yè)務(wù)連續(xù)性。

大數(shù)據(jù)局API數(shù)據(jù)安全難點API-SMAC有效解決實踐

在大力推動數(shù)據(jù)共享開放中，某大數(shù)據(jù)局作為統(tǒng)籌數(shù)據(jù)匯聚融合和共享開放的中心環(huán)節(jié)，對外開放大量的API傳輸數(shù)據(jù)，這一過程中面臨：

如何監(jiān)控整體數(shù)據(jù)資產(chǎn)流轉(zhuǎn)方式和敏感數(shù)據(jù)資產(chǎn)流轉(zhuǎn)態(tài)勢?

如何獲取數(shù)據(jù)使用方和數(shù)據(jù)提供方的身份信息和環(huán)境因素，對訪問行為進行有效管理?

如何對數(shù)據(jù)交換過程中數(shù)據(jù)傳輸進行有效安全防護?

數(shù)據(jù)開放接口后，如何防范接口二次非法封裝?

數(shù)據(jù)流轉(zhuǎn)分發(fā)后當(dāng)出現(xiàn)數(shù)據(jù)泄漏等安全風(fēng)險時，如何進行快速溯源?

?解決方案：

在大數(shù)據(jù)局側(cè)部署API安全監(jiān)測與訪問控制系統(tǒng)(API-SMAC)，通過在公共平臺及授權(quán)應(yīng)用部署探針抓取轉(zhuǎn)發(fā)API流量，從而對API資產(chǎn)進行發(fā)現(xiàn)及梳理，實現(xiàn)數(shù)據(jù)流轉(zhuǎn)過程中的安全監(jiān)測和訪問控制。

同時，API安全監(jiān)測與訪問控制系統(tǒng)創(chuàng)新無痕水印技術(shù)，實現(xiàn)數(shù)據(jù)泄露溯源功能，能夠溯源到人，并提供原始日志作為證據(jù)。

大數(shù)據(jù)局側(cè)

API管控能力：基于接口申請信息進行安全合規(guī)檢測及安全訪問管控，如當(dāng)API接口使用方應(yīng)用名稱申請?zhí)峤粌?nèi)容不符時，API安全檢測系統(tǒng)將進行處置響應(yīng)(告警或告警并阻斷)。

API水印能力：委辦局向大數(shù)據(jù)局公共平臺發(fā)起調(diào)用API接口請求，探針進行流量抓取并轉(zhuǎn)發(fā)至API安全產(chǎn)品，API作為代理向公共平臺發(fā)送模擬請求，根據(jù)經(jīng)審批的API訪問權(quán)限信息向數(shù)據(jù)庫獲取相應(yīng)數(shù)據(jù)，數(shù)據(jù)經(jīng)API安全產(chǎn)品插入含申請方身份屬性信息的無痕水印，便于數(shù)據(jù)水印溯源。

委辦局側(cè)

當(dāng)委辦局應(yīng)用經(jīng)審批擁有API調(diào)用權(quán)限后，可以獲取帶有無痕水印的數(shù)據(jù)內(nèi)容。當(dāng)已授權(quán)應(yīng)用想要將數(shù)據(jù)內(nèi)容傳輸給未授權(quán)應(yīng)用時，此動作會被API安全監(jiān)測與訪問控制系統(tǒng)抓取到，此時API安全監(jiān)測與訪問控制系統(tǒng)會及時進行處置響應(yīng)，進行告警或告警并阻斷，實現(xiàn)對API訪問行為的管控。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責(zé)任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）