业务情报和 API 数据安全方案厂商永安在线于近日发布《API安全建设白皮书》(以下简称:白皮书),对 API 在现代 IT 业务系统中所起到的关键作用,以及普遍应用下的安全挑战作出了详细介绍,为应对 API 安全挑战,白皮书提出了“API 全生命周期安全防护模型”,以供企业建设安全的 API 提供参考。
该白皮书指出,API 全生命周期安全防护包含 API 从设计到开发,再到测试、上线运行、迭代及下线共计六个阶段,利用全生命周期理念来考虑 API 的安全性,通过安全左移方法和工具,综合性的融合管理手段和技术手段进行 API 安全治理,可提高业务 API 的整体安全性。
本周,永安在线COO邵付东接受了安全419的独家专访,谈及了此次《API安全建设白皮书》发布初衷,以及企业 API 安全建设难点,正确的 API 建设路径等诸多问题。
邵付东表示,鉴于 API 安全本身的重要性,以及近些年来因 API 保护不当所引起的诸多安全事件,这需要企业能够系统地去解决 API 安全问题。永安在线则通过自身多年对 API 安全的理解和多年的 API 安全实践经验,梳理了通过 API 全生命周期安全防护的 API 安全建设之路,希望企业能够从中有所借鉴,这也是发布《API安全建设白皮书》的初衷。
该白皮书指出,API 是数据交互最重要的传输方式之一,也因此成为攻击者窃取数据的重点攻击对象。白皮书引用相关数据表示,数据泄露事件中有三分之二是由不安全的 API 造成的。据预测,到 2022 年,API 滥用将成为导致企业 Web 应用程序数据泄露最常见的攻击媒介,甚至在 2024 年 API 安全问题引起的数据泄露风险将翻倍。
所以白皮书在梳理 API 面临的主要安全问题时,也首次提及了来自监管合规方面的挑战。其认为大多数企业在数据的流动访问方面的安全建设意识正逐步萌芽和发展,而 API 作为连接数据与应用的主要通道,正成为数据传输中最薄弱的环节之一。
邵付东告诉安全419,目前仅金融行业有明确的 API 安全建设标准(金融行业标准 JR/T 0185-2020《商业银行应用程序接口安全管理规范》),其他行业目前对 API 的安全防护比较薄弱,其整体的安全建设严重滞后,所以 API 很容易成为攻击者眼中窃取数据的头号目标。
在谈及企业在进行 API 安全建设时存在的难点时,邵付东从多方面的经验梳理总结了以下两点见解:
第一、企业客户的业务优先仍然普遍存在,安全仍处于次要位置;第二,企业对 API 安全建设的重要性认识仍显不足,这也直接造成了企业普遍存在诸多的 API 安全隐患。
白皮书曾对 API 的重要性做出如下总结:在当今应⽤程序驱动的世界中,创新的⼀个基本元素就是 API。从银⾏、零售、运输到物联网、自动驾驶汽车和智慧城市,API 是现代移动端、SaaS 和 Web 应用程序的关键部分,企业在面向客户、面向合作伙伴和机构内部的应用程序中随处可见 API 的使用。
从本质上讲,API 暴露了应用程序的逻辑和敏感数据,如个人身份信息,正因如此,API 越来越多地成为攻击者的完美目标。由此可见,没有安全的 API,企业的快速创新也将无从谈起。
在谈及企业有效的 API 安全建设路径时,邵付东先是阐述了企业安全建设的本质问题,他指出,企业遵循业务优先是企业生存的前提,“如果业务都没有了,那还谈什么安全。”他认为企业的整体安全建设应遵循:第一、业务优先,第二、解决可见性,第三、做到整体可控。
最终落实到 API 安全建设路径方面,邵付东认为首先在业务优先的基础上,企业需要对上线的 API 进行整体地梳理,要务是实现对所有 API 资产的可视,再进行持续的 API 漏洞评估和及时感知 API 攻击风险,实现 API 风险的可控。从业务安全角度来讲,这也是企业能够健康发展的前提。
邵付东解释称,做好以上的 API 上线阶段的安全建设,企业就基本解决了 API 安全可见性问题,企业可以及时了解 API 资产变化情况,其 API 上线后的基本安全面已经有所保障。而此时,再通过安全左移,把视角转型到整个 API 的设计、开发、测试阶段,通过这种上线之后的实践总结,可以更有针对性地做好这部分安全左移工作,从而进步到整体可控。
“通过对 API 上线过程问题和隐患的发现梳理,将其视为企业 API 全生命周期安全建设的核心和起步点,同时这部分工作还可以作为企业 API 安全左移过程中重要的参考依据,从目标感中获取解决具体问题的方法来构建整体 API 安全,我认为,这将会令 API 全生命周期安全建设更加有的放矢。”
“全生命周期”最近几年经常出现在网络安全领域,比如在数据安全领域,其全生命周期泛指数据的采集、传输、存储、共享、使用、销毁等阶段,每一个阶段均通过一定的安全措施做到安全可控。
邵付东称,永安在线之所以在 API 安全领域提出全生命周期安全防护概念,更多的是想表达对 API 安全管理的一种愿景,即企业用户也可以将 API 以资产的视角进行管理,其意义在于更便于企业用户通过整体的方法进行思考,从而关注其整体的生产效率和安全问题。
据邵付东进一步介绍,其提出的 API 全生命周期安全防护模型一方面源于永安在线长期在业务安全上的实践,同时也源于客户一侧对 API 安全的实际需求总结,即总体来自用户侧 API 安全真实需求且基于业务的方法梳理。
正如白皮书指出的那样,针对 API 存在威胁防护,使用 WAF 类产品只能覆盖其中的一小部分威胁,对业务而言,从单点考虑 API 功能安全设计到通过对 API 生命周期来考虑 API 的安全,围绕设计、开发、测试、 上线运行、迭代到下线的每一个环节加强安全建设更加必要。
在采访中,邵付东列举了一些企业客户进行 API 安全建设的具体实践及过程中所面临的困境,而白皮书在其第三章节的“API 全生命周期安全防护”具体内容则呼应了这部分内容,白皮书梳理的 API 全生命周期安全防护不同阶段的具体能力建设,均具体到了方法论和具体的安全实践工具。
比如在 API 的开发阶段,借此白皮书的发布,永安在线也首次公开了他们的 API 安全开发规范,感兴趣的企业用户可以下载白皮书完整版进一步获取相关信息及工具。
#网络安全##API#
关注微信
