隨著企業(yè)互聯網化進程的不斷深入，越來越多的業(yè)務被遷移到互聯網上，大量的業(yè)務交互和對外服務，導致企業(yè)大量使用API。因此，API已經成為業(yè)務的一個關鍵組件，企業(yè)必須優(yōu)化和加速API，以提高App應用的性能、可靠性和用戶體驗。

　　大多數企業(yè)認為API安全是他們希望解決的首要問題。面對互聯網上飛速變革的業(yè)務形態(tài)，企業(yè)正在創(chuàng)建開放式API以滿足不斷變化的需求。然而，開放式API的安全負擔更大，因為利用自動化工具通過合法帳戶進行API濫用已成為開放式API攻擊的主流。注入攻擊、DDOS攻擊、身份賬號安全、敏感數據泄漏、參數篡改等API資產使用運維過程中引入的新風險給安全運維帶來了極大挑戰(zhàn)。

　　然而傳統API網關只能為客戶提供身份認證、權限管控及內容校驗等安全功能，這些功能的使用需要具備大量的應用開發(fā)工作，同時由于來自自動化工具的請求內容和正常請求并沒有差別，這些安全機制幾乎無用武之地?；谝陨戏雷o需求，本期發(fā)布牛品推薦第十七期——瑞數信息：API安全管控平臺。

　　#牛品推薦第十七期 #

　　01 標簽

　　API安全，自動化攻擊防護，動態(tài)安全資產管理

　　02 用戶痛點

　　API面臨的安全威脅

　　為了方便與其他企業(yè)快速對接，大量的企業(yè)使用Http/RESTful API，這也使得API的安全問題更為嚴峻，API面臨的主要安全威脅如下：

　　API資產管理

　　· API接口無法掃描和探測，大量的API資產如何收集？

　　· API資產如何實現全生命周期管理？

　　API安全攻擊風險

　　· API面臨各種安全攻擊（業(yè)務邏輯層面的安全攻擊和WEB應用技術層面的安全攻擊），如何有效識別和防護？

　　· 如何進行API請求參數的合規(guī)性檢驗？

　　敏感數據管控

　　· 如何識別API訪問中的敏感數據并進行過濾和攔截？

　　· 如何對API接口傳輸中的敏感數據實現控制，如脫敏？

　　訪問行為管控

　　· 如何有效管理API的訪問行為，識別異常的訪問行為？

　　· 從API訪問中如何甄別出真正的業(yè)務安全風險？

　　傳統API解決方案問題凸顯

　　傳統API安全網關更多是在API請求的身份認證、權限管控、請求內容校驗與過濾以及API流量限速等方面進行防護，但是這些防護功能都與應用開發(fā)高度相關，應用程序修改后往往也需要修改API安全網關的配置，造成的部署與維護成本都極為高昂；尤其是企業(yè)近年來在業(yè)務上對API的依賴不斷增長，API功能也在不斷擴充與加強，傳統API安全網關的維護工作量問題愈加凸顯，因此，許多企業(yè)開始棄用傳統API安全網關。

　　鑒于傳統API安全網關部署與維護成本過高，而且無法有效防護新興的自動化工具威脅的弊端，瑞數信息創(chuàng)新地推出了API安全管控平臺，從而解決API面臨的各種安全風險與挑戰(zhàn)，實現API的資產管理、攻擊防護、敏感數據管控和訪問行為管控。

　　03 解決方案

　　瑞數API安全管控平臺（API BotDefender）

　　瑞數API安全管控平臺（API BotDefender）包括API資產管理、攻擊防護、敏感數據管控和訪問行為管控四大模塊，為API接口提供完整的安全管控方案。

　　資產管理模塊：實現對API資產的統一管理。API資產管理基于數據建模自動發(fā)現被保護站點的API資產，對API資產進行梳理、分析和上下線，幫助客戶實現API資產的生命周期管理。

　　攻擊防護模塊：綜合利用智能規(guī)則匹配及行為分析的智能威脅檢測引擎，持續(xù)監(jiān)控并分析流量行為，有效檢測威脅攻擊。智能威脅檢測引擎在用戶與應用程序交互的過程中收集數據，并利用統計模型來確定HTTP請求的異常。一旦確定異常情況，智能引擎就會使用機器學習獲得的多種威脅模型來確定異常攻擊。

　　敏感數據管控模塊：對API傳輸中的敏感數據進行識別，針對敏感數據可以進行脫敏處理或者實時攔截，防止敏感數據泄露。

　　訪問行為管控模塊：對API接口的訪問行為進行分析，通過多維度建立API訪問基線、API威脅建模，發(fā)現異常訪問行為，避免惡意訪問和接口濫用造成的業(yè)務損失。

　　應用場景：

　　API資產自動發(fā)現

　　API安全管控平臺通過對訪問流量進行分析，自動發(fā)現流量中的API接口，實現API接口自動識別、梳理和分組。

　　API資產生命周期管理

　　對發(fā)現的API接口進行生命周期管理，基于關鍵字搜索功能快速分組，并且對分組后的API資產指定責任人，實現API資產的導入和導出、資產上下線。

　　API攻擊防護

　　識別各種針對API的安全攻擊，對安全攻擊進行實時防護；對API請求參數進行合規(guī)管控，對不符合規(guī)范的請求參數實時管控。

　　API敏感數據管控

　　對API傳輸中的敏感數據進行識別，針對敏感數據可以進行模糊化或者實時攔截，防止敏感數據泄露。

　　API流量監(jiān)控與保護

　　監(jiān)控API的訪問行為，針對高頻情況等進行防護，防止高頻情況等造成的API性能瓶頸。

　　未知API發(fā)現

　　通過從API網關上獲取API注冊數據，與API資產進行對比，發(fā)現未知API接口，防止未知API訪問造成的業(yè)務訪問壓力，導致業(yè)務不可用。

　　非法API調用防護

　　通過從API網關上獲取API認證和鑒權數據，防止未授權的API調用，保障API接口只能被合法用戶訪問。

　　API濫用防護

　　針對API接口，防止其被濫用并用于謀取利益。

　　API訪問行為管控

　　監(jiān)控API接口的訪問和使用狀況，包括成功率、性能等，通過建立多維度訪問基線和API威脅建模，監(jiān)控基線偏離狀況，高效識別異常訪問行為，避免惡意訪問造成的業(yè)務損失。

　　產品優(yōu)勢：

　　瑞數API安全管控平臺（API BotDefender），實現全程式API安全威脅防護，其安全防護從API接入客戶端覆蓋到API服務器端。

　　1. API全自動發(fā)現

　　通過全流量數據接入和分析可以快速自動地發(fā)現業(yè)務潛在的未知API接口，并針對發(fā)現的API接口給出準確的綜合評分，減少API接口防護的盲點。同時，通過清晰的API列表輔助運維部門實時感知每個API接口的訪問情況，并進行管控。

　　2. 構建API畫像

　　采用全程式安全威脅防護技術可精準構建API畫像。通過API畫像快速預覽各個業(yè)務的API情況，包括使用情況、異常情況、訪問來源、非法API調用、API數據泄露和API接口濫用等。

　　3. API全渠道感知

　　瑞數信息API安全管控平臺部署在API應用服務器與負載均衡設備之間，也可以旁路鏡像部署，無需對現有業(yè)務進行任何改造，系統部署簡單。同時提供各種SDK，方便與各類API來源應用進行集成，可以對來源環(huán)境和用戶行為進行感知。

　　4. 動態(tài)響應防護

　　瑞數信息API安全管控平臺可以根據訪問行為分析的結果或指定條件，進行動態(tài)響應防護，防護手段包括：直接攔截、限頻、延時響應、軟攔截、限時黑名單以及與第三方系統聯動等多種方式。另外還可以基于信譽庫的積累實現多維度的信譽防護，包括IP信譽庫、設備指紋信譽庫和賬號信譽庫等，提升黑產通過逆向探測或機器學習分析等攻擊手段的難度。

　　04

　　用戶反饋

　　與傳統的鑒權API網關相比，瑞數API安全管控平臺具有API全生命周期的發(fā)現和管控措施，能夠很好地配合我行進行API業(yè)務威脅透視分析和防護，實現多部門和多平臺的關聯分析，彌補我行在API業(yè)務安全防護過程中跨部門之間溝通和信息共享不對稱性等問題。

　　——某金融行業(yè)客戶

　　瑞數信息一直以來為我司提供專業(yè)高效的安全服務，在日常工作中提供全方位的支持，在網絡安全攻防演習中積極配合，快速響應并及時處理各類突發(fā)狀況，保障了攻防演習的順利完成。

　　——某能源行業(yè)客戶

　　瑞數API安全管控平臺能夠幫助我司有效檢測威脅攻擊，防止敏感數據泄漏，已成為我行應對各種API攻擊必不可少的防護手段，在攻防演練和業(yè)務合規(guī)實踐中發(fā)揮作用非常突出。

　　——某運營商行業(yè)客戶

　　保障工作期間，瑞數信息在我中心承擔了網絡安全監(jiān)測、自動化攻擊阻攔等工作，為我院圓滿完成各項工作提供了強有力的技術保障，效果顯著。

　　——某醫(yī)療行業(yè)用戶

　　安全牛評

　　API可以調用存儲、計算和數據庫的敏感資源，而數字化和云化轉型會導致企業(yè)API的大量開放，給企業(yè)敏感數據安全帶來極大的風險隱患。瑞數API安全管控平臺組合了API管控技術與數據防護手段，并從API視角在數據安全治理、防護、監(jiān)管多個維度增強了數據可視化，API的細粒度管控將成為企業(yè)數據安全風險管控的重要抓手。