API数据泄露事件频发

这一预测已成为现实。

2020年，GitHub开源软件库的API数据被非法释放，其中包括来自用户账户的5.5亿条记录。

2021年，Facebook的API数据安全事件导致数亿用户信息流出，至少6100万用户的实名信息被泄露，详细到电话、地址等。

近年来，与API相关的数据泄露事件层出不穷，其中不乏个人身份信息、银行卡信息、健康信息等敏感数据，给各行各业带来了数据安全的重大挑战。

数据安全事件的三点成因

为什么API成为了黑灰产攻击的标靶？

全球最大的CDN服务商Akamai监测到，2021年API流量占全部互联网流量的83%，且API访问量以30%的速度逐年增加。DevOps及前后端分离的研发模式、云原生、微服务和企业模式都对API有着强烈依赖，这些技术的兴起与广泛应用使API迅猛发展。

API资产庞大，几乎无法实现严格高效的管理机制，藏匿于网络中的未知API带来了巨大的隐患。API调用过程中的数据流转无法摸清，尤其对API间交互的数据无法感知，导致数据泄露事件频频发生。

以下三点攻击方式都会造成数据泄露和篡改：

1、攻击者利用未经身份验证或授权的API访问漏洞，获取敏感数据。

2、攻击者利用API请求中的弱点，有目的地篡改敏感数据。

3、未经正确处理的API请求可能导致缓冲区溢出漏洞，造成恶意代码入侵系统并获得高访问权限。

API安全已经成为数据安全的重要方向之一。这里的API安全是指在API交互过程中保护数据的能力，即确保数据的完整性、机密性和可用性。API攻击的主要目标是窃取与篡改敏感数据，结合敏感数据监控的API防护手段才是切实有效的。

API数据安全防护需要全面深入监测：API交互敏感数据与API异常访问行为。那么首先需要发现并采集复杂庞大的API访问路径，可视化展现访问统计和访问趋势，生成API在网络中的活跃状态。

API资产发现

API的访问调用伴随着内容数据的传输交互，这种交互复杂无序，且数据类型多样，对数据资产管理者来说很不“友好”。“元溯”通过实时的内容还原与扫描功能，对以API为传输载体的内容数据进行提取还原、分类分级，将其标记为可管控、可分析的数据资产。

API交互的文件数据

API交互的碎片化数据

“元溯”可从两个维度分析API接口风险，一是API交互数据的非法流转风险，通过数据合规等规则实时展现数据风险；二是API调用行为的异常访问风险，通过业务访问风险规则和WEB攻击风险规则实时展现访问风险。

API数据合规监测

API访问异常监测

安博通“元溯”数据安全产品为用户实现API资产自动梳理、API画像绘制、API调用行为监测等功能。在API数据层面，将数据、应用、用户、设备进行有机关联，可视化呈现复杂的API数据交互活动，在此基础上进行数据安全治理。看得见才能管得住，安博通“元溯”数据安全产品为数据治理筑牢防护屏障。