在云计算和大数据时代,网络安全边界逐渐瓦解,内外部威胁愈 演愈烈,导致传统的边界安全架构正在失效,面对如此严峻的“内忧 外患”,安全思维和安全架构亟需进化,数据安全中的 API安全应不 断地创新与迭代,建设真正意义上的、更满足数据安全体系下的 API 安全解决方案
企业应基于业务场景的人、流程、访问、环境等多维的因素,对 信任进行评估,并通过信任等级对权限进行动态调整,这是一种动态 自适应的安全闭环体系。
API安全建设的落地需要结合现状和需求,以零信任的核心思想
设计 API的安全能力和组件,并嵌入到业务体系,构建自适应的内生 安全机制,建议在业务建设之初进行同步规划,进行安全和业务的深 入聚合。
API 安全解决方案应按照持续“发现”、“检测”、“防护”、 “响应”的安全模型进行安全建设。
(一) 持续构建发现能力
- API资产发现与管理
- API自动发现能力
API发现能力是 API提供者和黑客之间的竞赛,他们在发现 API 时很容易利用这些 API。要在攻击者之前发现 API,可以挖掘 API流 量元数据。这些数据是从 API安全网关、负载平衡器或直接内联网络 流量中提取的。
- API资产管理能力
对 API进行深度的资产梳理和发现,对于帮助安全团队了解不同 应用程序使用的 API以及 API对应的业务属性。
- API漏洞发现
- 自身业务漏洞发现 随着攻击面的变化及攻击者手段的隐秘多变,企业应建设持续挖
掘、收集 API相关漏洞的能力和机制,并做好补丁管理。
- 第三方组件漏洞发现 企业应在引入第三方组件时充分考虑组件自身安全,避免第三方
组件引入的漏洞。
- API滥用发现
在 API 运行时加强外部风险感知能力和风险阻断能力的建设尤 为重要,这样才能够及时准确地感知到 API的任何滥用情况,并及时 阻断攻击者的进一步行动。
(二) 持续构建检测能力
- 针对 API漏洞攻击检测
企业应通过攻击检测技术持续检测针对 API漏洞的攻击行为,并 通过大数据分析技术及人工智能技术对攻击告警进行攻击事件还原 和攻击溯源。
- 逻辑异常攻击检测
企业应构建 API调用链可视化能力,将请求经过的每一个节点都 记录下来,形成一个完整的调用链监控系统。一旦发生请求调用异常 或回溯安全事件时,即可清晰定位到具体环节。
-
异常行为检测 企业应构建异常行为可视化能力,基于可扩展的行为检测模型, 实现对异常高频访问行为、异常数量级数据访问行为、异常时间访问 等异常行为实现全面可视化。
-
数据异常流转及泄漏检测
- 敏感数据识别
企业应进行数据分级分类治理,并通过技术手段对 API访问的数 据进行持续监测评估,自动梳理 API接口中的敏感数据流并生成 API 接口与敏感数据映射,确保个人隐私数据、商业数据以及其他敏感数据进行持续监控。
- 数据流转检测
企业应构建全面的数据流转监控,通过识别各种类型的 API,对 API的传输内容进行还原、对其传输内容进行精细化检测来达到“谁 通过什么方式的 API,传输了什么类型的敏感数据”的检测效果,实 现敏感信息流转可视化。
- 失陷主机检测
企业应构建威胁情报检测能力,通过检测分析手段,快速定位攻 击行为,并对攻击行为进行溯源,做到在攻击行为产生恶劣影响之前 及时感知已失陷的主机,从而做到提前预警及快速响应,以降低恶意 攻击行为对内网造成更多的影响和损失,及时止损。
(三) 持续构建防护能力
- 认证授权体系
企业应基于零信任安全架构构建防护体系,实现统一的认证授权, 对所有的 API内部、外部访问执行可信认证策略。
- 访问控制
认证成功后,还需针对不多的应用执行不同的访问控制策略,并 提供完整的访问控制日志。
- 加解密能力
企业应对敏感信息的交互进行加密,在整个业务流量交互过程中, 特殊的敏感信息需要被加密或做脱密处理,例如身份证号、部分姓名, 银行卡号、交易号等,以减少敏感信息的泄漏风险。
- API限流限速
企业应对 API请求执行一定的限流策略,考虑到系统的处理能力, 需要对 API请求做一定的限流防护。此类场景可以用于缓解基于 API 的 DDoS攻击,有效防止资源消耗在无意义或恶意的 API请求上。
(四) 持续构建响应能力
漏洞管理与响应
企业应构建漏洞管理与响应机制,需建设持续挖掘、收集 API相 关漏洞的能力来实现漏洞可视化,并做好补丁管理,以此来应对不断 变化的攻击面及隐秘多变的攻击手段。
威胁分析与处置
企业应构建威胁分析与处置能力,需要具备将所有威胁日志转发 至统一的大数据分析平台,结合业务与应用部门的数据,实现对所有API的统一监控与威胁事件感知,以达到可快速处置威胁事件的目的。
威胁预警能力
在数据安全空间,攻击、窃密团伙发展出多元化、不同目的、不 同量级的攻击/窃密反馈、持续定点攻击/窃密、攻击意图等特征。
企业应具备在攻击或窃密事件发生前具备预警能力,进而提前预 防、及时响应。可从业务流量中细化攻击的行为结合攻击者历史情报 信息对攻击者的资源、手法、意图、团伙情况、潜在目标进行关联跟 踪分析,进而构建攻击者情报库,对攻击者进行持续跟踪。
随着对 API安全问题逐步重视、国家陆续出台多部数据接口有关 的标准规范,对数据接口在不同领域的应用、部署、管理、防护进行 了规范,API安全技术也得到大力发展,当前常见的技术从功能上看 包含了 API 发现、API 身份与访问控制、API 消息安全、API 传输安 全、威胁缓解、API威胁检测、API安全审计、API监测与跟踪、API 管理等几个方面。
为筑牢 API安全基础,企业应着眼长远构建前瞻性的云原生架构, 应面向微服务和容器环境对 API进行管理与安全防护,从实战化角度 进行 API安全防护体系的建设,将安全落实到 API全生命周期管理的 各个环节,构建具有更好的 API可见性和 API安全检测与响应体系。
参考资料红蓝攻防构建实战化网络安全防御体系 青藤云安全 2022攻防演练蓝队防守指南
