【技术观点】浅析API层面的数据安全建设
在现代应用架构中,应用开发深度依赖于API(应用程序接口)之间的相互调用。API的绝对数量持续增长,通过API传递的数据量也随之飞速增长。
Gartner预测,API将成为数据泄露最常见的攻击媒介之一,到2024年,由API安全问题引起的数据泄露风险将翻倍。
API数据泄露事件频发
这一预测已成为现实。
2020年,GitHub开源软件库的API数据被非法释放,其中包括来自用户账户的5.5亿条记录。
2021年,Facebook的API数据安全事件导致数亿用户信息流出,至少6100万用户的实名信息被泄露,详细到电话、地址等。
近年来,与API相关的数据泄露事件层出不穷,其中不乏个人身份信息、银行卡信息、健康信息等敏感数据,给各行各业带来了数据安全的重大挑战。
数据安全事件的三点成因
为什么API成为了黑灰产攻击的标靶?
全球最大的CDN服务商Akamai监测到,2021年API流量占全部互联网流量的83%,且API访问量以30%的速度逐年增加。DevOps及前后端分离的研发模式、云原生、微服务和企业模式都对API有着强烈依赖,这些技术的兴起与广泛应用使API迅猛发展。
API资产庞大,几乎无法实现严格高效的管理机制,藏匿于网络中的未知API带来了巨大的隐患。API调用过程中的数据流转无法摸清,尤其对API间交互的数据无法感知,导致数据泄露事件频频发生。
以下三点攻击方式都会造成数据泄露和篡改:
1、攻击者利用未经身份验证或授权的API访问漏洞,获取敏感数据。
2、攻击者利用API请求中的弱点,有目的地篡改敏感数据。
3、未经正确处理的API请求可能导致缓冲区溢出漏洞,造成恶意代码入侵系统并获得高访问权限。
API安全已经成为数据安全的重要方向之一。这里的API安全是指在API交互过程中保护数据的能力,即确保数据的完整性、机密性和可用性。API攻击的主要目标是窃取与篡改敏感数据,结合敏感数据监控的API防护手段才是切实有效的。
“元溯”数据安全产品
为API安全护航
API数据安全防护需要全面深入监测:API交互敏感数据与API异常访问行为。那么首先需要发现并采集复杂庞大的API访问路径,可视化展现访问统计和访问趋势,生成API在网络中的活跃状态。
API资产发现
API的访问调用伴随着内容数据的传输交互,这种交互复杂无序,且数据类型多样,对数据资产管理者来说很不“友好”。“元溯”通过实时的内容还原与扫描功能,对以API为传输载体的内容数据进行提取还原、分类分级,将其标记为可管控、可分析的数据资产。
API交互的文件数据
API交互的碎片化数据
“元溯”可从两个维度分析API接口风险,一是API交互数据的非法流转风险,通过数据合规等规则实时展现数据风险;二是API调用行为的异常访问风险,通过业务访问风险规则和WEB攻击风险规则实时展现访问风险。
API数据合规监测
API访问异常监测
安博通“元溯”数据安全产品为用户实现API资产自动梳理、API画像绘制、API调用行为监测等功能。在API数据层面,将数据、应用、用户、设备进行有机关联,可视化呈现复杂的API数据交互活动,在此基础上进行数据安全治理。看得见才能管得住,安博通“元溯”数据安全产品为数据治理筑牢防护屏障。