隨著企業(yè)互聯(lián)網(wǎng)化進程的不斷深入，越來越多的業(yè)務(wù)被遷移到互聯(lián)網(wǎng)上，大量的業(yè)務(wù)交互和對外服務(wù)，導(dǎo)致企業(yè)大量使用API。因此，API已經(jīng)成為業(yè)務(wù)的一個關(guān)鍵組件，企業(yè)必須優(yōu)化和加速API，以提高App應(yīng)用的性能、可靠性和用戶體驗。

　　大多數(shù)企業(yè)認為API安全是他們希望解決的首要問題。面對互聯(lián)網(wǎng)上飛速變革的業(yè)務(wù)形態(tài)，企業(yè)正在創(chuàng)建開放式API以滿足不斷變化的需求。然而，開放式API的安全負擔更大，因為利用自動化工具通過合法帳戶進行API濫用已成為開放式API攻擊的主流。注入攻擊、DDOS攻擊、身份賬號安全、敏感數(shù)據(jù)泄漏、參數(shù)篡改等API資產(chǎn)使用運維過程中引入的新風險給安全運維帶來了極大挑戰(zhàn)。

　　然而傳統(tǒng)API網(wǎng)關(guān)只能為客戶提供身份認證、權(quán)限管控及內(nèi)容校驗等安全功能，這些功能的使用需要具備大量的應(yīng)用開發(fā)工作，同時由于來自自動化工具的請求內(nèi)容和正常請求并沒有差別，這些安全機制幾乎無用武之地?；谝陨戏雷o需求，本期發(fā)布牛品推薦第十七期——瑞數(shù)信息：API安全管控平臺。

　　#牛品推薦第十七期 #

　　01 標簽

　　API安全，自動化攻擊防護，動態(tài)安全資產(chǎn)管理

　　02 用戶痛點

　　API面臨的安全威脅

　　為了方便與其他企業(yè)快速對接，大量的企業(yè)使用Http/RESTful API，這也使得API的安全問題更為嚴峻，API面臨的主要安全威脅如下：

　　API資產(chǎn)管理

　　· API接口無法掃描和探測，大量的API資產(chǎn)如何收集？

　　· API資產(chǎn)如何實現(xiàn)全生命周期管理？

　　API安全攻擊風險

　　· API面臨各種安全攻擊（業(yè)務(wù)邏輯層面的安全攻擊和WEB應(yīng)用技術(shù)層面的安全攻擊），如何有效識別和防護？

　　· 如何進行API請求參數(shù)的合規(guī)性檢驗？

　　敏感數(shù)據(jù)管控

　　· 如何識別API訪問中的敏感數(shù)據(jù)并進行過濾和攔截？

　　· 如何對API接口傳輸中的敏感數(shù)據(jù)實現(xiàn)控制，如脫敏？

　　訪問行為管控

　　· 如何有效管理API的訪問行為，識別異常的訪問行為？

　　· 從API訪問中如何甄別出真正的業(yè)務(wù)安全風險？

　　傳統(tǒng)API解決方案問題凸顯

　　傳統(tǒng)API安全網(wǎng)關(guān)更多是在API請求的身份認證、權(quán)限管控、請求內(nèi)容校驗與過濾以及API流量限速等方面進行防護，但是這些防護功能都與應(yīng)用開發(fā)高度相關(guān)，應(yīng)用程序修改后往往也需要修改API安全網(wǎng)關(guān)的配置，造成的部署與維護成本都極為高昂；尤其是企業(yè)近年來在業(yè)務(wù)上對API的依賴不斷增長，API功能也在不斷擴充與加強，傳統(tǒng)API安全網(wǎng)關(guān)的維護工作量問題愈加凸顯，因此，許多企業(yè)開始棄用傳統(tǒng)API安全網(wǎng)關(guān)。

　　鑒于傳統(tǒng)API安全網(wǎng)關(guān)部署與維護成本過高，而且無法有效防護新興的自動化工具威脅的弊端，瑞數(shù)信息創(chuàng)新地推出了API安全管控平臺，從而解決API面臨的各種安全風險與挑戰(zhàn)，實現(xiàn)API的資產(chǎn)管理、攻擊防護、敏感數(shù)據(jù)管控和訪問行為管控。

　　03 解決方案

　　瑞數(shù)API安全管控平臺（API BotDefender）

　　瑞數(shù)API安全管控平臺（API BotDefender）包括API資產(chǎn)管理、攻擊防護、敏感數(shù)據(jù)管控和訪問行為管控四大模塊，為API接口提供完整的安全管控方案。

　　資產(chǎn)管理模塊：實現(xiàn)對API資產(chǎn)的統(tǒng)一管理。API資產(chǎn)管理基于數(shù)據(jù)建模自動發(fā)現(xiàn)被保護站點的API資產(chǎn)，對API資產(chǎn)進行梳理、分析和上下線，幫助客戶實現(xiàn)API資產(chǎn)的生命周期管理。

　　攻擊防護模塊：綜合利用智能規(guī)則匹配及行為分析的智能威脅檢測引擎，持續(xù)監(jiān)控并分析流量行為，有效檢測威脅攻擊。智能威脅檢測引擎在用戶與應(yīng)用程序交互的過程中收集數(shù)據(jù)，并利用統(tǒng)計模型來確定HTTP請求的異常。一旦確定異常情況，智能引擎就會使用機器學(xué)習獲得的多種威脅模型來確定異常攻擊。

　　敏感數(shù)據(jù)管控模塊：對API傳輸中的敏感數(shù)據(jù)進行識別，針對敏感數(shù)據(jù)可以進行脫敏處理或者實時攔截，防止敏感數(shù)據(jù)泄露。

　　訪問行為管控模塊：對API接口的訪問行為進行分析，通過多維度建立API訪問基線、API威脅建模，發(fā)現(xiàn)異常訪問行為，避免惡意訪問和接口濫用造成的業(yè)務(wù)損失。

　　應(yīng)用場景：

　　API資產(chǎn)自動發(fā)現(xiàn)

　　API安全管控平臺通過對訪問流量進行分析，自動發(fā)現(xiàn)流量中的API接口，實現(xiàn)API接口自動識別、梳理和分組。

　　API資產(chǎn)生命周期管理

　　對發(fā)現(xiàn)的API接口進行生命周期管理，基于關(guān)鍵字搜索功能快速分組，并且對分組后的API資產(chǎn)指定責任人，實現(xiàn)API資產(chǎn)的導(dǎo)入和導(dǎo)出、資產(chǎn)上下線。

　　API攻擊防護

　　識別各種針對API的安全攻擊，對安全攻擊進行實時防護；對API請求參數(shù)進行合規(guī)管控，對不符合規(guī)范的請求參數(shù)實時管控。

　　API敏感數(shù)據(jù)管控

　　對API傳輸中的敏感數(shù)據(jù)進行識別，針對敏感數(shù)據(jù)可以進行模糊化或者實時攔截，防止敏感數(shù)據(jù)泄露。

　　API流量監(jiān)控與保護

　　監(jiān)控API的訪問行為，針對高頻情況等進行防護，防止高頻情況等造成的API性能瓶頸。

　　未知API發(fā)現(xiàn)

　　通過從API網(wǎng)關(guān)上獲取API注冊數(shù)據(jù)，與API資產(chǎn)進行對比，發(fā)現(xiàn)未知API接口，防止未知API訪問造成的業(yè)務(wù)訪問壓力，導(dǎo)致業(yè)務(wù)不可用。

　　非法API調(diào)用防護

　　通過從API網(wǎng)關(guān)上獲取API認證和鑒權(quán)數(shù)據(jù)，防止未授權(quán)的API調(diào)用，保障API接口只能被合法用戶訪問。

　　API濫用防護

　　針對API接口，防止其被濫用并用于謀取利益。

　　API訪問行為管控

　　監(jiān)控API接口的訪問和使用狀況，包括成功率、性能等，通過建立多維度訪問基線和API威脅建模，監(jiān)控基線偏離狀況，高效識別異常訪問行為，避免惡意訪問造成的業(yè)務(wù)損失。

　　產(chǎn)品優(yōu)勢：

　　瑞數(shù)API安全管控平臺（API BotDefender），實現(xiàn)全程式API安全威脅防護，其安全防護從API接入客戶端覆蓋到API服務(wù)器端。

　　1. API全自動發(fā)現(xiàn)

　　通過全流量數(shù)據(jù)接入和分析可以快速自動地發(fā)現(xiàn)業(yè)務(wù)潛在的未知API接口，并針對發(fā)現(xiàn)的API接口給出準確的綜合評分，減少API接口防護的盲點。同時，通過清晰的API列表輔助運維部門實時感知每個API接口的訪問情況，并進行管控。

　　2. 構(gòu)建API畫像

　　采用全程式安全威脅防護技術(shù)可精準構(gòu)建API畫像。通過API畫像快速預(yù)覽各個業(yè)務(wù)的API情況，包括使用情況、異常情況、訪問來源、非法API調(diào)用、API數(shù)據(jù)泄露和API接口濫用等。

　　3. API全渠道感知

　　瑞數(shù)信息API安全管控平臺部署在API應(yīng)用服務(wù)器與負載均衡設(shè)備之間，也可以旁路鏡像部署，無需對現(xiàn)有業(yè)務(wù)進行任何改造，系統(tǒng)部署簡單。同時提供各種SDK，方便與各類API來源應(yīng)用進行集成，可以對來源環(huán)境和用戶行為進行感知。

　　4. 動態(tài)響應(yīng)防護

　　瑞數(shù)信息API安全管控平臺可以根據(jù)訪問行為分析的結(jié)果或指定條件，進行動態(tài)響應(yīng)防護，防護手段包括：直接攔截、限頻、延時響應(yīng)、軟攔截、限時黑名單以及與第三方系統(tǒng)聯(lián)動等多種方式。另外還可以基于信譽庫的積累實現(xiàn)多維度的信譽防護，包括IP信譽庫、設(shè)備指紋信譽庫和賬號信譽庫等，提升黑產(chǎn)通過逆向探測或機器學(xué)習分析等攻擊手段的難度。

　　04

　　用戶反饋

　　與傳統(tǒng)的鑒權(quán)API網(wǎng)關(guān)相比，瑞數(shù)API安全管控平臺具有API全生命周期的發(fā)現(xiàn)和管控措施，能夠很好地配合我行進行API業(yè)務(wù)威脅透視分析和防護，實現(xiàn)多部門和多平臺的關(guān)聯(lián)分析，彌補我行在API業(yè)務(wù)安全防護過程中跨部門之間溝通和信息共享不對稱性等問題。

　　——某金融行業(yè)客戶

　　瑞數(shù)信息一直以來為我司提供專業(yè)高效的安全服務(wù)，在日常工作中提供全方位的支持，在網(wǎng)絡(luò)安全攻防演習中積極配合，快速響應(yīng)并及時處理各類突發(fā)狀況，保障了攻防演習的順利完成。

　　——某能源行業(yè)客戶

　　瑞數(shù)API安全管控平臺能夠幫助我司有效檢測威脅攻擊，防止敏感數(shù)據(jù)泄漏，已成為我行應(yīng)對各種API攻擊必不可少的防護手段，在攻防演練和業(yè)務(wù)合規(guī)實踐中發(fā)揮作用非常突出。

　　——某運營商行業(yè)客戶

　　保障工作期間，瑞數(shù)信息在我中心承擔了網(wǎng)絡(luò)安全監(jiān)測、自動化攻擊阻攔等工作，為我院圓滿完成各項工作提供了強有力的技術(shù)保障，效果顯著。

　　——某醫(yī)療行業(yè)用戶

　　安全牛評

　　API可以調(diào)用存儲、計算和數(shù)據(jù)庫的敏感資源，而數(shù)字化和云化轉(zhuǎn)型會導(dǎo)致企業(yè)API的大量開放，給企業(yè)敏感數(shù)據(jù)安全帶來極大的風險隱患。瑞數(shù)API安全管控平臺組合了API管控技術(shù)與數(shù)據(jù)防護手段，并從API視角在數(shù)據(jù)安全治理、防護、監(jiān)管多個維度增強了數(shù)據(jù)可視化，API的細粒度管控將成為企業(yè)數(shù)據(jù)安全風險管控的重要抓手。