一個疏忽的API放倒一衆“英雄”,不僅僅發生在實戰演練中(zhōng)。
在數字化進程的持續加速下,API承載着應用(yòng)各組件間數據的流動,成為(wèi)數據交互最重要的傳輸方式之一,但随着API的多(duō)樣性、複雜性在不斷增加,API資産(chǎn)理(lǐ)不清、風險不可(kě)見、流轉不透明,暴露了比以往更多(duō)的敏感數據,成為(wèi)黑客竊取敏感數據的利刃:
◼︎ 不知道應用(yòng)系統的API接口有(yǒu)哪些?哪些API是僵屍API、活躍API?分(fēn)别傳輸了哪些敏感數據資産(chǎn)?哪些API接口需要重點管理(lǐ)?--API資産(chǎn)理(lǐ)不清!
◼︎ API接口是否存在濫用(yòng)或攻擊行為(wèi),如接口的過度調用(yòng)、非法共享等問題?針對非法身份的調用(yòng)是否經過數據脫敏等去隐私化處理(lǐ)以防止批量洩漏?數據洩露是否能(néng)溯源?是否存在接口二次封裝(zhuāng)的風險?針對二次封裝(zhuāng)的現象如何進行管控?--API調用(yòng)時的數據安(ān)全風險不可(kě)見!
◼︎ 數據流轉過程是否得到有(yǒu)效監測和追蹤?--數據流轉鏈路不透明!
聚焦于API訪問通道以及其中(zhōng)的數據流動安(ān)全,美創API安(ān)全監測與訪問控制系統(API-SMAC) 将API資産(chǎn)治理(lǐ)、身份治理(lǐ)、流量管控、訪問鑒權、機器學(xué)習等多(duō)種核心技(jì )術融合,幫助用(yòng)戶梳理(lǐ)應用(yòng)中(zhōng)龐雜的海量接口,針對各類API的調用(yòng)行為(wèi),繪制接口畫像和接口訪問軌迹,基于統一的敏感數據标簽,監測敏感數據流動風險,識别接口調用(yòng)的異常用(yòng)戶行為(wèi),對風險行為(wèi)的精(jīng)準攔截,為(wèi)應用(yòng)系統的業務(wù)數據合規正常使用(yòng)和流轉提供「可(kě)知、可(kě)視、可(kě)管、可(kě)溯」的安(ān)全保障。
三個場景看API-SMAC關鍵能(néng)力
API資産(chǎn)及敏感資産(chǎn)全面治理(lǐ)
在大型組織或跨組織的環境中(zhōng),如運營商(shāng)等行業,API的數量和複雜性非常高,管理(lǐ)和監控大量的API接口、不同團隊開發的API、版本叠代過程中(zhōng)的曆史API以及與外部合作(zuò)夥伴共享的API,變得異常複雜和困難。
API-SMAC結合機器學(xué)習引擎進行智能(néng)流量分(fēn)析,可(kě)持續自動化的探測和發現業務(wù)應用(yòng)及海量的API資産(chǎn),幫助用(yòng)戶清楚地感知全業務(wù)域有(yǒu)多(duō)少API、是否安(ān)全,實現API資産(chǎn)全景心中(zhōng)有(yǒu)數。
此外,API-SMAC内嵌敏感數據識别智能(néng)算法,快速識别接口和應用(yòng)中(zhōng)流轉的敏感數據,對數據進行分(fēn)類分(fēn)級,為(wèi)更精(jīng)細化的安(ān)全防護提供依據。
基于異常操作(zuò)行為(wèi)的安(ān)全管控
在組織内部,往往需要通過API進行不同部門、不同系統之間的集成和通信,以實現數據共享、業務(wù)流程協作(zuò)等。但在内部API之間傳輸的數據可(kě)能(néng)包含敏感信息,無論是由于疏忽、人為(wèi)錯誤、主觀惡意還是其他(tā)任何原因,若對API的訪問控制不當,就意味着數據外洩的風險和價值損失。
API-SMAC基于訪問流量信息,實時監測、識别、梳理(lǐ)各類訪問身份信息,結合機器學(xué)習等技(jì )術深度分(fēn)析訪問上下文(wén)、訪問行為(wèi)等因素,建立來訪身份畫像及訪問基線(xiàn),系統基于分(fēn)類分(fēn)級結果,精(jīng)準識别敏感資産(chǎn),結合脫敏、訪問控制、水印溯源等能(néng)力,可(kě)對不同API接口從請求頻次、獲取敏感數據次數、敏感數據量、訪問時段等實現多(duō)維細粒度安(ān)全管控防護。
組織或服務(wù)提供商(shāng)向外部開發者開放API接口,以構建新(xīn)的應用(yòng)程序或擴展現有(yǒu)應用(yòng)程序的功能(néng),高度開放面臨着數據流動失控的風險。此外,當組織通過開放特定API與外部合作(zuò)夥伴、客戶等進行數據交互、系統集成和業務(wù)合作(zuò),同時存在未授權應用(yòng)調用(yòng)API接口或接口二次封裝(zhuāng)的違規行為(wèi)。
API-SMAC以數據安(ān)全為(wèi)視角,全鏈路監測API接口中(zhōng)的數據流轉情況,實時監控API接口的各類風險及安(ān)全态勢。
根據OWAS API Sercurtiy TOP 10風險,API-SMAC基于多(duō)種檢測分(fēn)析引擎,内置資産(chǎn)脆弱性、資産(chǎn)暴露面、越權訪問、異常機器行為(wèi)、安(ān)全合規等風險策略,對API數據流轉實時監測與追蹤,确保數據流轉鏈路全程可(kě)視。
同時,API-SMAC可(kě)針對API接口中(zhōng)流轉的數據加注水印标識,當監測到加注有(yǒu)水印标識的數據被非授信應用(yòng)和接口訪問時,可(kě)進行告警并溯源責任到相關組織單位。支持API訪問全過程記錄與分(fēn)析,支持HTTPS加密流量審計,快速定位風險,精(jīng)準定位到人,支持大流量高并發審計保障業務(wù)連續性。
API-SMAC有(yǒu)效解決實踐
在大力推動數據共享開放中(zhōng),某大數據局作(zuò)為(wèi)統籌數據彙聚融合和共享開放的中(zhōng)心環節,對外開放大量的API傳輸數據,這一過程中(zhōng)面臨:
-
如何監控整體(tǐ)數據資産(chǎn)流轉方式和敏感數據資産(chǎn)流轉态勢?
-
如何獲取數據使用(yòng)方和數據提供方的身份信息和環境因素,對訪問行為(wèi)進行有(yǒu)效管理(lǐ)?
-
如何對數據交換過程中(zhōng)數據傳輸進行有(yǒu)效安(ān)全防護?
-
數據開放接口後,如何防範接口二次非法封裝(zhuāng)?
-
數據流轉分(fēn)發後當出現數據洩漏等安(ān)全風險時,如何進行快速溯源?
► 解決方案:
在大數據局側部署API安(ān)全監測與訪問控制系統(API-SMAC),通過在公(gōng)共平台及授權應用(yòng)部署探針抓取轉發API流量,從而對API資産(chǎn)進行發現及梳理(lǐ),實現數據流轉過程中(zhōng)的安(ān)全監測和訪問控制。
同時,API安(ān)全監測與訪問控制系統創新(xīn)無痕水印技(jì )術,實現數據洩露溯源功能(néng),能(néng)夠溯源到人,并提供原始日志(zhì)作(zuò)為(wèi)證據。
大數據局側
API管控能(néng)力:基于接口申請信息進行安(ān)全合規檢測及安(ān)全訪問管控,如當API接口使用(yòng)方應用(yòng)名(míng)稱申請提交内容不符時,API安(ān)全檢測系統将進行處置響應(告警或告警并阻斷)。
API水印能(néng)力:委辦(bàn)局向大數據局公(gōng)共平台發起調用(yòng)API接口請求,探針進行流量抓取并轉發至API安(ān)全産(chǎn)品,API作(zuò)為(wèi)代理(lǐ)向公(gōng)共平台發送模拟請求,根據經審批的API訪問權限信息向數據庫獲取相應數據,數據經API安(ān)全産(chǎn)品插入含申請方身份屬性信息的無痕水印,便于數據水印溯源。
委辦(bàn)局側
當委辦(bàn)局應用(yòng)經審批擁有(yǒu)API調用(yòng)權限後,可(kě)以獲取帶有(yǒu)無痕水印的數據内容。當已授權應用(yòng)想要将數據内容傳輸給未授權應用(yòng)時,此動作(zuò)會被API安(ān)全監測與訪問控制系統抓取到,此時API安(ān)全監測與訪問控制系統會及時進行處置響應,進行告警或告警并阻斷,實現對API訪問行為(wèi)的管控。
浙公(gōng)網安(ān)備 33010502006954号 
