首页 > 关于安博通 > 新闻中心
【技术观点】浅析API层面的数据安全建设
2023-08-25
1520


在现代应用架构中,应用开发深度依赖于API(应用程序接口)之间的相互调用。API的绝对数量持续增长,通过API传递的数据量也随之飞速增长。


Gartner预测,API将成为数据泄露最常见的攻击媒介之一,到2024年,由API安全问题引起的数据泄露风险将翻倍。


API数据泄露事件频发


这一预测已成为现实。


2020年,GitHub开源软件库的API数据被非法释放,其中包括来自用户账户的5.5亿条记录。


2021年,Facebook的API数据安全事件导致数亿用户信息流出,至少6100万用户的实名信息被泄露,详细到电话、地址等。


近年来,与API相关的数据泄露事件层出不穷,其中不乏个人身份信息、银行卡信息、健康信息等敏感数据,给各行各业带来了数据安全的重大挑战。


1.jpg


数据安全事件的三点成因


为什么API成为了黑灰产攻击的标靶?


全球最大的CDN服务商Akamai监测到,2021年API流量占全部互联网流量的83%,且API访问量以30%的速度逐年增加。DevOps及前后端分离的研发模式、云原生、微服务和企业模式都对API有着强烈依赖,这些技术的兴起与广泛应用使API迅猛发展。


API资产庞大,几乎无法实现严格高效的管理机制,藏匿于网络中的未知API带来了巨大的隐患。API调用过程中的数据流转无法摸清,尤其对API间交互的数据无法感知,导致数据泄露事件频频发生。


以下三点攻击方式都会造成数据泄露和篡改:

1、攻击者利用未经身份验证或授权的API访问漏洞,获取敏感数据。

2、攻击者利用API请求中的弱点,有目的地篡改敏感数据。

3、未经正确处理的API请求可能导致缓冲区溢出漏洞,造成恶意代码入侵系统并获得高访问权限。


API安全已经成为数据安全的重要方向之一。这里的API安全是指在API交互过程中保护数据的能力,即确保数据的完整性、机密性和可用性。API攻击的主要目标是窃取与篡改敏感数据,结合敏感数据监控的API防护手段才是切实有效的。


2.jpg


“元溯”数据安全产品

为API安全护航


API数据安全防护需要全面深入监测:API交互敏感数据与API异常访问行为。那么首先需要发现并采集复杂庞大的API访问路径,可视化展现访问统计和访问趋势,生成API在网络中的活跃状态。


3.jpg

API资产发现


API的访问调用伴随着内容数据的传输交互,这种交互复杂无序,且数据类型多样,对数据资产管理者来说很不“友好”。“元溯”通过实时的内容还原与扫描功能,对以API为传输载体的内容数据进行提取还原、分类分级,将其标记为可管控、可分析的数据资产。


4.png

API交互的文件数据

 

5.png

API交互的碎片化数据


“元溯”可从两个维度分析API接口风险,一是API交互数据的非法流转风险,通过数据合规等规则实时展现数据风险;二是API调用行为的异常访问风险,通过业务访问风险规则和WEB攻击风险规则实时展现访问风险。


6.png

API数据合规监测


7.png

API访问异常监测

 

安博通“元溯”数据安全产品为用户实现API资产自动梳理、API画像绘制、API调用行为监测等功能。在API数据层面,将数据、应用、用户、设备进行有机关联,可视化呈现复杂的API数据交互活动,在此基础上进行数据安全治理。看得见才能管得住,安博通“元溯”数据安全产品为数据治理筑牢防护屏障。

联系我们
请填写相关信息×

您好!为了提供更优质的服务,请先填写以下信息,帮助我们更快更精准地为您解答。

  • 您的称呼*

  • 电话*

  • 单位*

  • 意向产品

  • 验证码*

  • 提交
×

提交成功

感谢您的反馈!我们将在3个工作日内回复您的需求,请留意查收。