日前,由 MobTech 袤博科技主辦的【CoderPark】第三季第一期「數安有為——移動應用安全技術與實踐探析」直播活動圓滿落幕。梆梆安全 API 安全産品專家仇樂就“基于端到端的全管道安全解決方案”話題進行了精彩分享,解碼新型業務模式中的企業 API 安全建設思路和解決方案,全面建構 API 運作時安全“護城河”,助力企業資料安全治理建設。
移動應用面臨新型挑戰
随着數字化轉型的快速發展,線下業務線上化、線上管道多樣化使得企業的 API 類型和數量呈現爆發式增長,也帶來了諸如資料洩露、企業名譽/利益受損、業務運作中斷、安全合規難度加大、資源配置成本增加等安全風險。
造成 API 安全風險的原因主要由以下幾點構成:
- 安全管理缺失
- 安全配置錯誤
- API邏輯漏洞
- 拟人攻擊難抵禦
- 防禦自适應能力弱
近年來,大陸陸續出台多部資料接口(API)有關标準,對資料接口在不同領域的應用、部署、管理、防護都進行了規範。國家标準層面,大陸現行及制定中的多部國家标準針對 API 安全提出具體要求;通信行業标準方面,權威機構就 API 安全生命周期已給出建設指導意見;金融行業标準方面,釋出了多部标準規範。随着雲計算、移動網際網路等領域的快速發展,API 運作時安全已成為企業今後安全發展的重要一環。
端到端風險防護思路
API的廣泛應用對安全機制提出了更高的要求,應用側、WAF、API 網關三個次元的傳統安全機制已經難以支撐企業業務的智能化轉型需要:
應用側重度依賴靜态防禦,無法實時感覺風險,無法做成相應的處置;多管道的安全能力差異(木桶效應),導緻攻擊者會優先選擇攻擊難度更低的輕應用;安全與業務發展不同頻,傳統的基于事前滲透測試難以完全覆寫所有業務。
WAF主要解決應用層注入、XSS等正常網絡攻擊行為,其檢測能力主要依賴于單次包過濾及簡單統計,在應對進階拟人化攻擊、複雜攻擊場景時無法有效防禦,且無法解決 API 接口上所承載的資料安全風險。
API網關主要能力在認證、鑒權,對攻擊檢測能力弱,使用方式往往需要人工進行注冊,需要施加人工管理,在這種情況下容易造成僵屍 API 及影子 API 問題。
基于上述問題,梆梆安全不斷打磨整體方案的規劃設計,對以上痛點各個擊破,确定了端到端的全管道風險防護關鍵點,以更好地支撐企業高品質發展。
端到端的全管道風險防護關鍵點
1. 靜态防禦措施全管道覆寫
由于目前客戶管道衆多,且部分API接口存在多管道API接口共用,攻擊者在發起攻擊時,往往會選擇防護能力最弱的管道發起攻擊,故在做靜态防禦措施時需要針對于全管道進行靜态防禦。
2. 動靜結合&端到端關聯
動靜結合的安全防禦政策是一種使用廣泛的安全防禦思路,動态安全防禦機制需要與現有的靜态防禦機制進行關聯及協同防禦。在端到端的全管道API安全防禦思路中,動态防禦機制需要能夠:
- 實時感覺用戶端風險:加強破解、動态攻擊等;将前端風險感覺與後端流量感覺相結合,實作端到端的安全協同;
- 前端風險感覺能力亦需要納入目前的靜态保護範圍,防止被逆向分析。
3. 實時防禦&全管道關聯
針對前端風險的防禦機制需要做到實時防禦,同時防禦措施需要多樣化;不同管道的安全防禦能力需要協同,針對APP側的風險情報能夠同步至輕應用側進行聯防聯控。
端到端安全解決方案
梆梆安全—API安全平台通過對 API 上線運作後的資料流量實時檢測,解決 API上線運作後面臨的各種安全風險,為企業建立一套完整的 API 安全防禦管控機制,産品從 API 資産管理、 API 風險檢測、 API 敏感資料識别、API 防護管控四大核心子產品,助企業解決資産資料難治理、風險行為難發現、資料洩露難感覺、威脅攻擊難防護等四大安全問題,最終幫助企業梳理出清晰的 API 資産台賬、看清 API 風險、掌握 API 異常行為、可視化展現 API 敏感資料包括資料流動畫像,以及對威脅攻擊建立起安全防護機制。
API安全平台能力架構圖
端到端&全管道風險關聯圖示
多年來,梆梆安全始終深入研究攻防技術,針對 API 接口的威脅入侵、黑灰産、違規異常行為、惡意攻擊行為等,建立了完備的核心規則庫;結合專業的前端監測及流量分析能力,形成前端(裝置、系統、應用)與後端(基線、行為、漏洞)相結合的端到端協同監測能力;擁有完善的代碼加密、密鑰白盒及通信協定保護等技術,實作閉環。
面向未來,梆梆安全将繼續打造适配金融、網際網路、物聯網、政府、營運商、企業、醫療、能源、教育等各大行業的安全解決方案,不斷深入洞察行業使用者需求,幫助企業建構全方位、多層次的移動應用資料安全體系,以數字資訊化培育新動能,推動新發展,創造新輝煌。