首頁(yè) > 關(guān)于我們 > 安恒動(dòng)態(tài) > 2023 > 正文

數(shù)據(jù)安全十大經(jīng)典案例 ②丨API 數(shù)據(jù)安全保護(hù)之道

閱讀量：次 文章來(lái)源：安恒信息

API（應(yīng)用程序接口）是現(xiàn)代軟件應(yīng)用程序之間進(jìn)行通信和數(shù)據(jù)交換的重要方式。在數(shù)字化轉(zhuǎn)型的時(shí)代，企業(yè)越來(lái)越依賴API來(lái)實(shí)現(xiàn)系統(tǒng)之間的數(shù)據(jù)共享和交互。然而，隨著API的廣泛應(yīng)用，相應(yīng)的安全挑戰(zhàn)也日益增多。未經(jīng)有效的保護(hù)措施和管理，API可能成為黑客入侵和數(shù)據(jù)泄露的漏洞。本文以案例分析切入探討API數(shù)據(jù)安全的重要性，并為企業(yè)提供相關(guān)解決方案和優(yōu)化建議，以確保API在數(shù)字化轉(zhuǎn)型中的安全性和可靠性。

令集團(tuán)頭疼的“API?數(shù)據(jù)安全保護(hù)難題”

某集團(tuán)作為中國(guó)汽車產(chǎn)業(yè)的領(lǐng)軍企業(yè)，一直以來(lái)在產(chǎn)銷規(guī)模和市場(chǎng)份額上占據(jù)領(lǐng)先地位。該集團(tuán)的核心業(yè)務(wù)高度依賴API進(jìn)行數(shù)據(jù)處理和交互。然而，由于缺乏有效的監(jiān)測(cè)手段，API調(diào)用和流轉(zhuǎn)過(guò)程中的數(shù)據(jù)安全責(zé)任難以落實(shí)，導(dǎo)致敏感數(shù)據(jù)容易泄露，對(duì)集團(tuán)的形象和信譽(yù)造成不可逆的損害。

該集團(tuán)在數(shù)據(jù)安全建設(shè)過(guò)程中面臨以下建設(shè)難點(diǎn)：

1. API數(shù)量激增導(dǎo)致管理困難：僅集團(tuán)內(nèi)部對(duì)外暴露的?API?數(shù)量就達(dá)到了?2W+，缺乏有效的手段梳理?API?資產(chǎn)清單，存在存量資產(chǎn)管理不當(dāng)?shù)陌踩[患。

2. API 存在可被利用的脆弱性：在對(duì)?API?資產(chǎn)無(wú)法理楚的情況下，更無(wú)法感知對(duì)外暴露的 API 是否存在可被利用的脆弱性風(fēng)險(xiǎn)。

3. API 數(shù)據(jù)泄露風(fēng)險(xiǎn)無(wú)感知：未對(duì)API?調(diào)用行為進(jìn)行監(jiān)測(cè)和預(yù)警異常的調(diào)用?API?行為，無(wú)法及時(shí)發(fā)現(xiàn)是否有泄密、爬取的風(fēng)險(xiǎn)行為。

安恒?API?安全解決之道

要確保API的安全，必須先解決API資產(chǎn)管理的問(wèn)題。API資產(chǎn)管理是指管理API資源和相關(guān)數(shù)據(jù)的過(guò)程，在實(shí)際應(yīng)用中，由于API數(shù)量的增加和復(fù)雜性的提高，API資產(chǎn)管理變得越來(lái)越困難。安恒信息的API風(fēng)險(xiǎn)監(jiān)測(cè)系統(tǒng)是一款集簡(jiǎn)單易用、風(fēng)險(xiǎn)監(jiān)測(cè)準(zhǔn)確、場(chǎng)景覆蓋全面、資產(chǎn)運(yùn)營(yíng)高效、數(shù)據(jù)操作全面留痕于一身的API數(shù)據(jù)安全產(chǎn)品。該產(chǎn)品通過(guò)旁路部署，不侵入業(yè)務(wù)，輕松實(shí)現(xiàn)API 資產(chǎn)動(dòng)態(tài)梳理和 API 風(fēng)險(xiǎn)監(jiān)測(cè)。

該集團(tuán)對(duì)外開(kāi)放的 API 流量大小達(dá)到 20Gbps 。通過(guò)部署 2 臺(tái) API風(fēng)險(xiǎn)監(jiān)測(cè)系統(tǒng)，幫助集團(tuán)實(shí)現(xiàn)“數(shù)據(jù)資產(chǎn)可管、安全風(fēng)險(xiǎn)可見(jiàn)、API操作全面留痕”：

1.?動(dòng)態(tài)資產(chǎn)梳理：系統(tǒng)共識(shí)別到 2000+對(duì)外暴露的應(yīng)用系統(tǒng)、2w+API 。并發(fā)現(xiàn)疑似下線應(yīng)用 15 個(gè)?、API 378 個(gè)。這不僅可以幫助企業(yè)更好地理解和管理API資產(chǎn)，也是識(shí)別并解決安全問(wèn)題的重要依據(jù)。

2.?智能風(fēng)險(xiǎn)監(jiān)測(cè)：此次系統(tǒng)共識(shí)別發(fā)現(xiàn) 1900?個(gè) API 存在高危脆弱性風(fēng)險(xiǎn)，發(fā)現(xiàn)一起每日?0-2 點(diǎn)黑客暴力破解的攻擊行為。系統(tǒng)持續(xù)監(jiān)控API的脆弱性、合規(guī)、攻擊行為，讓企業(yè)能夠及時(shí)了解風(fēng)險(xiǎn)，防范在先，扼殺事件發(fā)生的可能。

3.?API全流量審計(jì)：系統(tǒng)全面留存API審計(jì)日志180+天，形成詳細(xì)的審計(jì)日志。這不僅可以在事后幫助查明問(wèn)題的原因，也使得API的調(diào)用更為透明，防止不正當(dāng)操作和攻擊行為。

“先進(jìn)級(jí)”?API?安全產(chǎn)品憑什么先進(jìn)

去年安恒信息API風(fēng)險(xiǎn)監(jiān)測(cè)系統(tǒng)就通過(guò)信通院全面測(cè)試評(píng)估，在?API?資產(chǎn)管理、API?安全監(jiān)測(cè)、API?安全防護(hù)、API?審計(jì)四大安全模塊的成熟度評(píng)測(cè)中均達(dá)到“先進(jìn)級(jí)（最高級(jí)）”要求，成為全國(guó)首批通過(guò)API安全能力評(píng)估的產(chǎn)品。讓我們來(lái)一探究竟，安恒的 API風(fēng)險(xiǎn)監(jiān)測(cè)系統(tǒng)究竟有哪些優(yōu)勢(shì)，被評(píng)選為首批最高級(jí) API 安全產(chǎn)品。

1.?告警準(zhǔn)確：基于多年的數(shù)據(jù)安全經(jīng)驗(yàn)積累，風(fēng)險(xiǎn)監(jiān)測(cè)準(zhǔn)確度達(dá)到?96.4%，以超高的準(zhǔn)確率和全面的覆蓋度全面領(lǐng)先 API 數(shù)據(jù)安全市場(chǎng)。

2. 性能優(yōu)越：采用前沿的流量分析技術(shù)和高性能、穩(wěn)定的產(chǎn)品架構(gòu)，單產(chǎn)品解析流量大小達(dá)到 10Gbps。在此次測(cè)試過(guò)程中，2 臺(tái)產(chǎn)品即可覆蓋客戶近 20Gbps 的 API 流量。

3. 策略全面：內(nèi)置100+敏感數(shù)據(jù)標(biāo)簽、14套數(shù)據(jù)分類分級(jí)模版、10大類脆弱性風(fēng)險(xiǎn)策略、5大類行為風(fēng)險(xiǎn)策略。

4. 場(chǎng)景創(chuàng)新：首創(chuàng)以數(shù)據(jù)維度風(fēng)險(xiǎn)監(jiān)測(cè)模型，以數(shù)據(jù)為線索監(jiān)測(cè)安全風(fēng)險(xiǎn)，根據(jù)線索自動(dòng)繪制API風(fēng)險(xiǎn)鏈路關(guān)系，可用于發(fā)現(xiàn) API 二次封裝、核心數(shù)據(jù)監(jiān)測(cè)等場(chǎng)景。

隨著API在企業(yè)中的重要性不斷提升，API 資產(chǎn)安全管理成為確保企業(yè)核心業(yè)務(wù)安全可靠的關(guān)鍵。通過(guò)采用安恒信息的API風(fēng)險(xiǎn)監(jiān)測(cè)系統(tǒng)，能夠有效提升 API 數(shù)據(jù)資產(chǎn)管理能力，持續(xù)發(fā)現(xiàn) API 脆弱性、數(shù)據(jù)泄漏風(fēng)險(xiǎn)，確保企業(yè)在數(shù)字化轉(zhuǎn)型過(guò)程中的數(shù)據(jù)安全。

更多資訊

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，數(shù)據(jù)在我們?nèi)粘Ｉ钪邪缪葜絹?lái)越重要的角色。與數(shù)據(jù)相關(guān)的數(shù)據(jù)安全、數(shù)據(jù)資產(chǎn)化、數(shù)據(jù)交易等問(wèn)題也愈發(fā)受到國(guó)家和社會(huì)的關(guān)注。3月7日，國(guó)務(wù)院提出組建國(guó)家數(shù)據(jù)局，進(jìn)一步推動(dòng)數(shù)字中國(guó)、數(shù)字經(jīng)濟(jì)建設(shè)。

在此背景下，由安恒信息董事長(zhǎng)范淵和安恒信息高級(jí)副總裁、首席科學(xué)家劉博主編，多位領(lǐng)域權(quán)威專家合作編寫(xiě)的《數(shù)據(jù)安全與隱私計(jì)算》應(yīng)運(yùn)而生。書(shū)中，作者們結(jié)合多年在數(shù)據(jù)安全領(lǐng)域?qū)嵺`積累的經(jīng)驗(yàn)，對(duì)數(shù)據(jù)安全和隱私計(jì)算進(jìn)行了深入探討，并介紹了數(shù)據(jù)安全和隱私保護(hù)的最新動(dòng)態(tài)和實(shí)用技巧。

點(diǎn)擊“閱讀原文”可獲購(gòu)買鏈接

《數(shù)據(jù)安全與隱私計(jì)算》的出版，為人們的數(shù)字生活構(gòu)筑堅(jiān)實(shí)的安全屏障。無(wú)論您是從事企業(yè)數(shù)據(jù)安全管理還是研究數(shù)據(jù)隱私保護(hù)，該書(shū)都將為您提供有價(jià)值的參考和指導(dǎo)。

往期精彩回顧