近日,在由中国信息通信研究院(以下简称“中国信通院”)主办的“应刃而解——应用安全发展论坛”上,首批API安全能力评估结果重磅揭晓,安恒信息API风险监测产品(应用系统安全审计系统)凭借优异的API安全能力成为全国首批通过API安全能力评估的产品。论坛上,安恒信息还介绍了其在API安全方面的研究成果,并提出了新一代以数据为中心的API风险管控方案,获得广泛关注。
API安全检验证书
本次API安全能力评估从API产品视角出发,重点关注运维阶段的API安全,提出资产管理、安全监测、安全防护、API审计四大安全模块,共计100余项标准细则,并基于不同能力要求,分为基础级、增强级、先进级三大能力水平,帮助厂商规范API产品安全。
经过中国信通院的测试评估,安恒信息API风险监测产品(应用系统安全审计系统)(以下简称“安恒API风险监测”),在 API 资产管理、API 安全监测、API 安全防护、API 审计四大安全模块的成熟度评测中均达到“先进级”(最高级)要求。
API成为数据泄漏最常见的攻击媒介
企业和政府在数字化转型的过程中,越来越多的场景需要通过 API 进行数据的传递和交换。有数据表明,80%的企业目前允许通过API进行开放共享数据和功能,通过 API 发挥出数据最大的潜能。Gartner在《如何建立有效的API安全策略》报告中提到2022年,API滥用将成为导致企业Web应用程序数据泄露的最常见攻击媒介;到2024年,API滥用和相关数据泄露将几乎翻倍。
依据API数据安全现状来看,企业的API安全治理面临四大挑战:
API管理难
无法掌握API情况及数量,如是否存在影子API、僵尸API。无法掌握API开放情况,如暴露哪些敏感数据,可被哪些人员访问。
脆弱评估难
API资产数量庞大且其业务相关性强、迭代速度快,安全运营人员难以对API遗留的安全漏洞进行安全性评估。
风险感知难
缺乏以数据为中心的风险监测预警能力,无法监测大规模数据拉取、非工作时间访问、非常用IP访问等可能存在的风险。
事后追溯难
日志分散存储、日志记录不全或格式不规范,一旦发生网络故障或安全事件时,无法在短时间内定位责任人和泄露路径。
针对API安全治理面临的问题和挑战,安恒信息提出新一代以数据为中心的API风险管控方案,集成API资产发现、脆弱监测、行为监测、内容识别、数据溯源等能力,实现对API数据安全共享全方面的风险监测。
安恒API风险监测介绍
安恒API风险监测是一款能够对应用数据进行保护和管理的专业型数据安全产品。以流量解析还原和敏感数据识别打标为基础,自动梳理业务系统API以及操作用户,自动分析业务系统API中可被利用的脆弱性风险,实时监测用户异常访问数据行为,并且支持在泄漏发生时进行溯源分析,全方面守护企业的应用数据安全。该系统广泛适用于政府、金融、企业、运营商、公安、能源、交通、卫生、教育等行业。
第1步
摸清家底
通过流量分析,自动化清点业务系统API,将僵尸API、影子API、涉敏API一网打尽,在资产自动梳理的基础上有效区分API和应用URL。实践证明,该系统梳理出的API数量贴合企业内部真实的API数量,实现真正的自动化资产梳理。
第2步
脆弱监测
洞悉业务流量中可能存在的脆弱性风险,发现用户异常调用数据等风险行为,实时监测企业内的API数据安全。安恒信息API风险监测产品可支持10类API的脆弱性风险检测,完整覆盖OWAS API Sercurtiy TOP 10问题,包括接口未授权、数据伪脱敏、数据过度暴露等风险。
以数据安全视角监测API的脆弱性风险,相较于传统的基于规则识别风险的安全产品,安恒信息API风险监测产品在规则识别的基础上,通过内容分析、数据聚合、风险聚合,能够更精准的发现风险,同时评估API风险的影响面,实现更简单高效的风险运营。
第3步
主动防护
基于内置的20+用户特征指标,通过关系学习绘制精准的用户行为画像。通过对用户历史数据、行为画像进行清洗挖掘,结合安恒信息风险识别算法,实时有效地发现用户异常行为,发现撞库攻击、数据慢速爬取等潜在的安全威胁,可支持识别文件离群类、机器访问类、逾需拉取类、攻击访问类等5大类行为风险,支持用户在发现新的风险场景进行灵活的自定义风险。
第4步
全面留痕
产品还原出完整的语句详情信息,留存全量的审计日志,对数据使用行为能够做到全面留痕,支持多条件进行审计结果的组合查询,能够在发生泄漏事件后快速定位泄露源。
在未来,安恒信息将继续在API安全领域深入研究,不断提升优化自身的安全技术,以数字化改革为牵引,以数字技术创新为动力,探索“构建安全可信的数字世界”的途径,为加快构建数字贸易全产业链,推动数据要素市场化配置,助力数字经济高质量发展不懈努力。
AiLPHA大数据智能安全产品线
AiLPHA大数据智能安全产品线在安恒信息首席科学家刘博博士带领下,以“智引新安全,数领大未来”为理念,打造行业引领的态势感知、数据安全、零信任、隐私计算系列产品。目前AiLPHA平台产品已经服务于全国200多家省市级监管单位,3000余家中大型政府、企业、金融、运营商等单位。产品和技术累计获得世界互联网大会领先科技成果、工信部示范试点项目、“携手构建网络空间命运共同体精品案例”等60多个奖项,团队拥有核心技术发明专利400余项,承担省部级重大课题10项,核心产品AiLPHA态势感知平台连续多年被第三方咨询机构评为国内综合排名第一。