在信息过载、数据传输速度飞快的时代,大量敏感数据(包括个人身份信息、医疗记录、金融交易和生活消费细节)不断在网上共享和传播。这些海量数据足以勾勒出数亿互联网用户的画像,而实现这些数据高效传输的关键渠道就是互联网。 应用程序接口.
长期被遗忘和忽视的 API 通常被称为“僵尸 API”。由于安全和维护人员没有注意到它们,因此它们经常隐藏未修补的漏洞。在网络安全领域,这些僵尸 API 通常是攻击者试图入侵系统的切入点。
保护敏感 API 数据的必要性
数据是数字经济和信息社会的核心资源,深刻影响着国家治理、经济运行和人民生活。数据通过流动、共享、加工、处理创造价值,而这种价值创造的前提是确保数据安全。近期, 研究表明,API 占互联网流量的 83% 以上,这意味着互联网数据的安全很大程度上依赖于API的安全。
幸好,世界各国和各行业都已制定了明确的数据安全要求,充分保护公民的网络隐私权。加州消费者隐私法案(CCPA)' 这 '个人资料保护法 (PDPA)”和“欧盟通用数据保护条例 (GDPR)'已将数据安全提升到更高的战略优先级。
为什么完整的 API 可见性对于安全至关重要
根据 2022 年第一季度版 Salt Labs API 安全状况报告其中,43% 的受访者认为僵尸 API 是他们最关心的 API 安全问题,远高于账户接管和滥用相关问题。此外,83% 的受访者对其 API 清单的完整性表示怀疑。
为什么公司如此关心僵尸 API 及其 API 清单的完整性?安全风险往往存在于“未知”之中。僵尸 API、 影子 API以及敏感数据泄露都是由于对整个 API 资产状况缺乏了解造成的。被遗忘的 API 资产难以控制,其未修补的漏洞往往会吸引攻击者。
调查显示,虽然企业对僵尸API的认知度不断提升,但往往忽视了僵尸参数的潜在风险,与完全被遗忘的僵尸API不同,这些僵尸参数可能仍然存在于当前使用和维护的API中。
常见的僵尸参数包括开发测试阶段使用的调试参数、系统属性参数等,虽然接口上线后这些参数不会暴露给用户,但攻击者仍然可以利用这些参数,比如利用批量赋值等漏洞获取未授权的响应。如果这些未知的API漏洞被利用,可能会泄露核心业务数据等敏感信息。
传统API网关管理模型
如何才能有效管理整个 API 资产,而不仅仅是“已知”的资产?传统上,这是通过 API 网关管理和更新资产来实现的。业务开发人员必须在开发过程中及时在网关中注册新的 API,并在其内容发生变化时更新 API 定义。这种方式完全依赖于人工管理,影响资产清单的准确性和及时性。
随着公司快速发展,开发者需要交付更多功能并加快发布速度以跟上不断变化的市场。这导致大量新 API 版本的创建,对开发者的日常维护提出了很高的要求。如果人工维护出现疏漏,就会积累僵尸 API、僵尸参数等问题,增加维护难度。
需要注意的是,安全人员出于安全考虑,通常会关注被遗忘或影子API,而API网关则由业务部门负责维护,这意味着安全人员的API安全措施依赖于业务人员的资产维护,这往往会造成跨部门协作的效率障碍。
管理 API 资产和增强安全协作的现代方法
如何才能在API资产管理中,降低人工维护的高成本,降低资产准确性和有效性的风险,同时平衡安全部门和业务部门之间的协作?传统的API网关管理模式已经不再有效。我们需要一种新的管理模式—— CDNetworks API 防护罩.
API Shield 提供了一种强大的解决方案,可以更高效、更安全地管理 API 资产。它利用流量数据分析来实时盘点 API 资产,而无需改变现有的用户部署架构。让我们深入了解它如何增强 API 安全性。
全自动实时 API 资产管理和库存
- 通过流量数据分析,可以实时盘点API资产,而无需改变现有的用户部署架构。
- 自动整理全面的API资产清单,包括API列表、参数、调用方式等。
- 通过结合CDNetworks预定义的API流量请求特征和基于机器学习的API流量基线,可以持续捕获流量中的API资源。
- 提取各种API架构风格和特征,通过流量识别引擎快速抓取API资产列表,包括来自API网关的API列表、本地文档,甚至被遗忘或停用的僵尸API。
- 进一步分析完整的API资产清单,展现接口的活跃状态,包括请求趋势、响应状态、调用方式等,让API资产清单清晰易懂。
- API参数资产清单:针对抓取的API列表,建立用户数据传输的基线,识别必需的参数名称、位置、类型、是否必填,并提取请求体的数据结构。
通过这些方法,公司可以确保全面盘点所有 API 资产和参数,从而使僵尸参数或攻击者创建的恶意参数无法被忽视。
优化 API 管理:折叠重叠端点以提高效率
api/test/111、api/test/112 等 API 端点往往路径高度相似,仅在固定路径参数上有差异,这些参数数量可达数百甚至数千个。如果不将这些重叠的 API 端点合并,将形成庞大的 API 资产清单,导致数据冗余和管理难度增加,使人工验证变得十分困难。
在API资产发现过程中,CDNetworks不断分析这些高度重合的API端点,整合API资产清单,并将路径中的变量标准化为路径参数,以便后续的防护模块能够更有效地进行参数合规性检查。
确保数据隐私:识别和管理敏感数据泄露
在传输过程中,各类敏感数据快速流动,有些是必要的,有些则可能由于接口暴露过多而导致不必要暴露。开展敏感数据暴露盘查可以避免这种情况。CDNetworks敏感数据识别引擎可以实时识别请求和响应数据中的敏感信息,识别出身份证号、电话号码、银行卡号等数据,从而对API敏感数据的整体状况进行统计分析和评估。
这有助于企业识别哪些 API 暴露了敏感数据、暴露的数据类型以及敏感程度,通过详细的暴露清单和分析,企业可以有效应对数据泄露风险,避免被忽视的漏洞。
从自动化 API 资产清单到 API 路径规范化和敏感数据暴露清单,CDNetworks API Shield 确保对 API 资产的全面了解、可见性和控制。