威胁猎人联合中国信通院发布《API安全发展白皮书(2023)》,提出API安全建设新思路
在过去6个月的时间里,API攻击活动数量快速增长了400%,API安全逐渐成为企业面临的最严峻网络安全挑战之一(Salt Labs报告显示)。
近年来大家关注到的大型社交平台数据泄露、车企营销活动被薅羊毛等事件,其根因都与API安全密切相关。
2023年8月25日,由中国信息通信研究院(以下简称“中国信通院”)和中国通信标准化协会联合主办的“2023 SecGo云和软件安全大会”在北京成功召开,会上正式发布《API安全发展白皮书(2023)》。
▲ 扫码下载《API安全发展白皮书》PDF完整版
白皮书由威胁猎人与中国信通院联合编制并发布,从API安全趋势挑战、API安全防护体系建设等维度深入分析,结合威胁猎人API安全领域的实践经验,为广大企业API安全建设提供新思路。
威胁猎人API安全业务总监黄巍受邀参加发布仪式,并在应用安全分论坛上对白皮书内容进行了重点解读。
黄巍提到,当前API接口的应用已经十分广泛,与之相关的业务风险也在不断加剧,API攻击手段更加多样化、隐蔽化、自动化,可以轻松突破企业对于API的限频、限量及认证鉴权等基础防护手段,传统的解决方案很难对API风险进行有效识别和防范。
在日益严峻的API挑战下,企业需要主动关注API安全问题并投入API安全防护体系建设。
对此,威胁猎人与中国信通院共同梳理了针对企业API安全建设的两个思路:
第一步:基于实战化角度的API全生命周期,构建安全防护模型
对企业而言,想要做好安全管理,全生命周期的API管理很有必要。首先,API是企业的私有化资产,从设计和开发就是在企业内部完成,API问题的产生通常也是由企业自身产生。
其次,API在整个业务生命周期当中变化非常快,API实现逻辑一旦发生变化,很容易引入新的风险。
因此,企业尤其需要基于API全生命周期构建安全防护模型,将安全落实到API生命周期的每个环节,包括API规划、开发、测试、部署、运行到下线,进而构建具有更好可见性和可控性的API安全防护体系。
API全生命周期管理涉及企业各部门角色的参与,投入工作量极大,企业应该根据实际情况来调整投入产出比。
图1:API生命周期安全管理模型
第二步:结合企业自身情况,构建基于IPDRR安全架构的API安全管理闭环
当下,不少企业感受到了API的风险威胁,却很难及时、高效降低或避免API风险,在安全团队内部实现高效闭环。
从高效运营、闭环管理的需求出发,企业可以从API的上线运行阶段入手,基于IPDRR安全模型实现API安全闭环管理,以识别、防护、检测、响应、修复五大模块的高效协同,结合企业自身的业务情况有序开展API安全实践。
基于IPDRR模型,企业可持续识别API资产潜在威胁和漏洞、提供安全保护措施、实施实时监测和事件检测、迅速响应安全事件、实施恢复策略和业务持续性计划等等,全面保护API的安全性和可靠性,最大化降低甚至避免API风险。
图2:API安全闭环管理
黄巍重点提到,为了突破现有防护系统的检出规则,避开传统安全设备防护,攻击者在攻击过程中通常会使用“代理IP、虚假手机卡、虚假邮箱”等各类资源,针对API发起低频无特征攻击,这时原有的WAF、API网关等风险判定模型就会失效。
威胁猎人API安全管控平台基于“情报能力”(如上文提到的,攻击者利用的IP、手机卡等各类资源的风险情报)构建API安全行为基线,可不受业务波动影响,能更有效地感知外部API风险,误判率低,这也是产品主打优势之一。
想了解白皮书更多内容,可扫码或点击【阅读原文】下载《API安全发展白皮书》PDF完整版 ↓↓
由白皮书核心观点可见,当API风险暴露面日益扩大、API攻击者更加激进,“API安全”开始成为企业重点关注的安全建设方向。
目前,API风险态势仍在持续加剧。组织必须转向构建更创新、更具实践性的安全策略,结合企业实际情况解决其安全问题,并提供更全面的防护。
作为中国API安全领域的领先者,威胁猎人基于自身在安全领域多年的技术积累和海量攻防实战经验,推出国内首个以“情报”能力为基础的API安全管控平台。
2023年,威胁猎人凭借情报驱动的创新方案及技术,两次入选Gartner报告“API威胁防护领域”代表厂商,也是国内唯一入选的API安全品牌。
尽管网络风险态势在未来面临诸多不确定性,但对行业数字化健康发展的追求是明确的。
未来,威胁猎人将携手权威机构及更多行业伙伴,围绕行业需求,以优秀的API产品及技术实践,帮助企业构建更有效、更具实践性的API安全防护策略,赋能各行各业的数字化。