有這么一個(gè)真實(shí)的案例,在某次實(shí)戰(zhàn)攻防演練中,防守方層層布防,搭建了十分健全的防御體系,本以為萬(wàn)無(wú)一失,結(jié)果靶標(biāo)悄無(wú)聲息被拿下。事后溯源中才發(fā)現(xiàn),一個(gè)存在未授權(quán)訪問(wèn)的歷史API,成為了突破口,敏感信息被紅隊(duì)獲取,而防守方在備戰(zhàn)資產(chǎn)梳理時(shí),并未發(fā)現(xiàn)這處疏漏。
一個(gè)疏忽的API放倒一眾“英雄”,不僅僅發(fā)生在實(shí)戰(zhàn)演練中。
在數(shù)字化進(jìn)程的持續(xù)加速下,API承載著應(yīng)用各組件間數(shù)據(jù)的流動(dòng),成為數(shù)據(jù)交互最重要的傳輸方式之一,但隨著API的多樣性、復(fù)雜性在不斷增加,API資產(chǎn)理不清、風(fēng)險(xiǎn)不可見、流轉(zhuǎn)不透明,暴露了比以往更多的敏感數(shù)據(jù),成為黑客竊取敏感數(shù)據(jù)的利刃:
??不知道應(yīng)用系統(tǒng)的API接口有哪些?哪些API是僵尸API、活躍API?分別傳輸了哪些敏感數(shù)據(jù)資產(chǎn)?哪些API接口需要重點(diǎn)管理?--API資產(chǎn)理不清!
??API接口是否存在濫用或攻擊行為,如接口的過(guò)度調(diào)用、非法共享等問(wèn)題?針對(duì)非法身份的調(diào)用是否經(jīng)過(guò)數(shù)據(jù)脫敏等去隱私化處理以防止批量泄漏?數(shù)據(jù)泄露是否能溯源?是否存在接口二次封裝的風(fēng)險(xiǎn)?針對(duì)二次封裝的現(xiàn)象如何進(jìn)行管控?--API調(diào)用時(shí)的數(shù)據(jù)安全風(fēng)險(xiǎn)不可見!
??數(shù)據(jù)流轉(zhuǎn)過(guò)程是否得到有效監(jiān)測(cè)和追蹤?--數(shù)據(jù)流轉(zhuǎn)鏈路不透明!
聚焦于API訪問(wèn)通道以及其中的數(shù)據(jù)流動(dòng)安全,美創(chuàng)API安全監(jiān)測(cè)與訪問(wèn)控制系統(tǒng)(API-SMAC)將API資產(chǎn)治理、身份治理、流量管控、訪問(wèn)鑒權(quán)、機(jī)器學(xué)習(xí)等多種核心技術(shù)融合,幫助用戶梳理應(yīng)用中龐雜的海量接口,針對(duì)各類API的調(diào)用行為,繪制接口畫像和接口訪問(wèn)軌跡,基于統(tǒng)一的敏感數(shù)據(jù)標(biāo)簽,監(jiān)測(cè)敏感數(shù)據(jù)流動(dòng)風(fēng)險(xiǎn),識(shí)別接口調(diào)用的異常用戶行為,對(duì)風(fēng)險(xiǎn)行為的精準(zhǔn)攔截,為應(yīng)用系統(tǒng)的業(yè)務(wù)數(shù)據(jù)合規(guī)正常使用和流轉(zhuǎn)提供「可知、可視、可管、可溯」的安全保障。
“理不清、不可見、不透明”?三個(gè)場(chǎng)景看API-SMAC關(guān)鍵能力
API資產(chǎn)及敏感資產(chǎn)全面治理
在大型組織或跨組織的環(huán)境中,如運(yùn)營(yíng)商等行業(yè),API的數(shù)量和復(fù)雜性非常高,管理和監(jiān)控大量的API接口、不同團(tuán)隊(duì)開發(fā)的API、版本迭代過(guò)程中的歷史API以及與外部合作伙伴共享的API,變得異常復(fù)雜和困難。
API-SMAC結(jié)合機(jī)器學(xué)習(xí)引擎進(jìn)行智能流量分析,可持續(xù)自動(dòng)化的探測(cè)和發(fā)現(xiàn)業(yè)務(wù)應(yīng)用及海量的API資產(chǎn),幫助用戶清楚地感知全業(yè)務(wù)域有多少API、是否安全,實(shí)現(xiàn)API資產(chǎn)全景心中有數(shù)。
此外,API-SMAC內(nèi)嵌敏感數(shù)據(jù)識(shí)別智能算法,快速識(shí)別接口和應(yīng)用中流轉(zhuǎn)的敏感數(shù)據(jù),對(duì)數(shù)據(jù)進(jìn)行分類分級(jí),為更精細(xì)化的安全防護(hù)提供依據(jù)。
基于異常操作行為的安全管控
在組織內(nèi)部,往往需要通過(guò)API進(jìn)行不同部門、不同系統(tǒng)之間的集成和通信,以實(shí)現(xiàn)數(shù)據(jù)共享、業(yè)務(wù)流程協(xié)作等。但在內(nèi)部API之間傳輸?shù)臄?shù)據(jù)可能包含敏感信息,無(wú)論是由于疏忽、人為錯(cuò)誤、主觀惡意還是其他任何原因,若對(duì)API的訪問(wèn)控制不當(dāng),就意味著數(shù)據(jù)外泄的風(fēng)險(xiǎn)和價(jià)值損失。
API-SMAC基于訪問(wèn)流量信息,實(shí)時(shí)監(jiān)測(cè)、識(shí)別、梳理各類訪問(wèn)身份信息,結(jié)合機(jī)器學(xué)習(xí)等技術(shù)深度分析訪問(wèn)上下文、訪問(wèn)行為等因素,建立來(lái)訪身份畫像及訪問(wèn)基線,系統(tǒng)基于分類分級(jí)結(jié)果,精準(zhǔn)識(shí)別敏感資產(chǎn),結(jié)合脫敏、訪問(wèn)控制、水印溯源等能力,可對(duì)不同API接口從請(qǐng)求頻次、獲取敏感數(shù)據(jù)次數(shù)、敏感數(shù)據(jù)量、訪問(wèn)時(shí)段等實(shí)現(xiàn)多維細(xì)粒度安全管控防護(hù)。
數(shù)據(jù)流轉(zhuǎn)全鏈路風(fēng)險(xiǎn)監(jiān)測(cè)追蹤
組織或服務(wù)提供商向外部開發(fā)者開放API接口,以構(gòu)建新的應(yīng)用程序或擴(kuò)展現(xiàn)有應(yīng)用程序的功能,高度開放面臨著數(shù)據(jù)流動(dòng)失控的風(fēng)險(xiǎn)。此外,當(dāng)組織通過(guò)開放特定API與外部合作伙伴、客戶等進(jìn)行數(shù)據(jù)交互、系統(tǒng)集成和業(yè)務(wù)合作,同時(shí)存在未授權(quán)應(yīng)用調(diào)用API接口或接口二次封裝的違規(guī)行為。
API-SMAC以數(shù)據(jù)安全為視角,全鏈路監(jiān)測(cè)API接口中的數(shù)據(jù)流轉(zhuǎn)情況,實(shí)時(shí)監(jiān)控API接口的各類風(fēng)險(xiǎn)及安全態(tài)勢(shì)。
根據(jù)OWAS API SercurtiyTOP 10風(fēng)險(xiǎn),API-SMAC基于多種檢測(cè)分析引擎,內(nèi)置資產(chǎn)脆弱性、資產(chǎn)暴露面、越權(quán)訪問(wèn)、異常機(jī)器行為、安全合規(guī)等風(fēng)險(xiǎn)策略,對(duì)API數(shù)據(jù)流轉(zhuǎn)實(shí)時(shí)監(jiān)測(cè)與追蹤,確保數(shù)據(jù)流轉(zhuǎn)鏈路全程可視。
同時(shí),API-SMAC可針對(duì)API接口中流轉(zhuǎn)的數(shù)據(jù)加注水印標(biāo)識(shí),當(dāng)監(jiān)測(cè)到加注有水印標(biāo)識(shí)的數(shù)據(jù)被非授信應(yīng)用和接口訪問(wèn)時(shí),可進(jìn)行告警并溯源責(zé)任到相關(guān)組織單位。支持API訪問(wèn)全過(guò)程記錄與分析,支持HTTPS加密流量審計(jì),快速定位風(fēng)險(xiǎn),精準(zhǔn)定位到人,支持大流量高并發(fā)審計(jì)保障業(yè)務(wù)連續(xù)性。
大數(shù)據(jù)局API數(shù)據(jù)安全難點(diǎn)API-SMAC有效解決實(shí)踐
在大力推動(dòng)數(shù)據(jù)共享開放中,某大數(shù)據(jù)局作為統(tǒng)籌數(shù)據(jù)匯聚融合和共享開放的中心環(huán)節(jié),對(duì)外開放大量的API傳輸數(shù)據(jù),這一過(guò)程中面臨:
如何監(jiān)控整體數(shù)據(jù)資產(chǎn)流轉(zhuǎn)方式和敏感數(shù)據(jù)資產(chǎn)流轉(zhuǎn)態(tài)勢(shì)?
如何獲取數(shù)據(jù)使用方和數(shù)據(jù)提供方的身份信息和環(huán)境因素,對(duì)訪問(wèn)行為進(jìn)行有效管理?
如何對(duì)數(shù)據(jù)交換過(guò)程中數(shù)據(jù)傳輸進(jìn)行有效安全防護(hù)?
數(shù)據(jù)開放接口后,如何防范接口二次非法封裝?
數(shù)據(jù)流轉(zhuǎn)分發(fā)后當(dāng)出現(xiàn)數(shù)據(jù)泄漏等安全風(fēng)險(xiǎn)時(shí),如何進(jìn)行快速溯源?
?解決方案:
在大數(shù)據(jù)局側(cè)部署API安全監(jiān)測(cè)與訪問(wèn)控制系統(tǒng)(API-SMAC),通過(guò)在公共平臺(tái)及授權(quán)應(yīng)用部署探針抓取轉(zhuǎn)發(fā)API流量,從而對(duì)API資產(chǎn)進(jìn)行發(fā)現(xiàn)及梳理,實(shí)現(xiàn)數(shù)據(jù)流轉(zhuǎn)過(guò)程中的安全監(jiān)測(cè)和訪問(wèn)控制。
同時(shí),API安全監(jiān)測(cè)與訪問(wèn)控制系統(tǒng)創(chuàng)新無(wú)痕水印技術(shù),實(shí)現(xiàn)數(shù)據(jù)泄露溯源功能,能夠溯源到人,并提供原始日志作為證據(jù)。
大數(shù)據(jù)局側(cè)
API管控能力:基于接口申請(qǐng)信息進(jìn)行安全合規(guī)檢測(cè)及安全訪問(wèn)管控,如當(dāng)API接口使用方應(yīng)用名稱申請(qǐng)?zhí)峤粌?nèi)容不符時(shí),API安全檢測(cè)系統(tǒng)將進(jìn)行處置響應(yīng)(告警或告警并阻斷)。
API水印能力:委辦局向大數(shù)據(jù)局公共平臺(tái)發(fā)起調(diào)用API接口請(qǐng)求,探針進(jìn)行流量抓取并轉(zhuǎn)發(fā)至API安全產(chǎn)品,API作為代理向公共平臺(tái)發(fā)送模擬請(qǐng)求,根據(jù)經(jīng)審批的API訪問(wèn)權(quán)限信息向數(shù)據(jù)庫(kù)獲取相應(yīng)數(shù)據(jù),數(shù)據(jù)經(jīng)API安全產(chǎn)品插入含申請(qǐng)方身份屬性信息的無(wú)痕水印,便于數(shù)據(jù)水印溯源。
委辦局側(cè)
當(dāng)委辦局應(yīng)用經(jīng)審批擁有API調(diào)用權(quán)限后,可以獲取帶有無(wú)痕水印的數(shù)據(jù)內(nèi)容。當(dāng)已授權(quán)應(yīng)用想要將數(shù)據(jù)內(nèi)容傳輸給未授權(quán)應(yīng)用時(shí),此動(dòng)作會(huì)被API安全監(jiān)測(cè)與訪問(wèn)控制系統(tǒng)抓取到,此時(shí)API安全監(jiān)測(cè)與訪問(wèn)控制系統(tǒng)會(huì)及時(shí)進(jìn)行處置響應(yīng),進(jìn)行告警或告警并阻斷,實(shí)現(xiàn)對(duì)API訪問(wèn)行為的管控。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )