首頁 > 關(guān)于我們 > 安恒動態(tài) > 2023 > 正文

數(shù)據(jù)安全十大經(jīng)典案例 ②丨API 數(shù)據(jù)安全保護之道

閱讀量：次 文章來源：安恒信息

API（應用程序接口）是現(xiàn)代軟件應用程序之間進行通信和數(shù)據(jù)交換的重要方式。在數(shù)字化轉(zhuǎn)型的時代，企業(yè)越來越依賴API來實現(xiàn)系統(tǒng)之間的數(shù)據(jù)共享和交互。然而，隨著API的廣泛應用，相應的安全挑戰(zhàn)也日益增多。未經(jīng)有效的保護措施和管理，API可能成為黑客入侵和數(shù)據(jù)泄露的漏洞。本文以案例分析切入探討API數(shù)據(jù)安全的重要性，并為企業(yè)提供相關(guān)解決方案和優(yōu)化建議，以確保API在數(shù)字化轉(zhuǎn)型中的安全性和可靠性。

令集團頭疼的“API?數(shù)據(jù)安全保護難題”

某集團作為中國汽車產(chǎn)業(yè)的領軍企業(yè)，一直以來在產(chǎn)銷規(guī)模和市場份額上占據(jù)領先地位。該集團的核心業(yè)務高度依賴API進行數(shù)據(jù)處理和交互。然而，由于缺乏有效的監(jiān)測手段，API調(diào)用和流轉(zhuǎn)過程中的數(shù)據(jù)安全責任難以落實，導致敏感數(shù)據(jù)容易泄露，對集團的形象和信譽造成不可逆的損害。

該集團在數(shù)據(jù)安全建設過程中面臨以下建設難點：

1. API數(shù)量激增導致管理困難：僅集團內(nèi)部對外暴露的?API?數(shù)量就達到了?2W+，缺乏有效的手段梳理?API?資產(chǎn)清單，存在存量資產(chǎn)管理不當?shù)陌踩[患。

2. API 存在可被利用的脆弱性：在對?API?資產(chǎn)無法理楚的情況下，更無法感知對外暴露的 API 是否存在可被利用的脆弱性風險。

3. API 數(shù)據(jù)泄露風險無感知：未對API?調(diào)用行為進行監(jiān)測和預警異常的調(diào)用?API?行為，無法及時發(fā)現(xiàn)是否有泄密、爬取的風險行為。

安恒?API?安全解決之道

要確保API的安全，必須先解決API資產(chǎn)管理的問題。API資產(chǎn)管理是指管理API資源和相關(guān)數(shù)據(jù)的過程，在實際應用中，由于API數(shù)量的增加和復雜性的提高，API資產(chǎn)管理變得越來越困難。安恒信息的API風險監(jiān)測系統(tǒng)是一款集簡單易用、風險監(jiān)測準確、場景覆蓋全面、資產(chǎn)運營高效、數(shù)據(jù)操作全面留痕于一身的API數(shù)據(jù)安全產(chǎn)品。該產(chǎn)品通過旁路部署，不侵入業(yè)務，輕松實現(xiàn)API 資產(chǎn)動態(tài)梳理和 API 風險監(jiān)測。

該集團對外開放的 API 流量大小達到 20Gbps 。通過部署 2 臺 API風險監(jiān)測系統(tǒng)，幫助集團實現(xiàn)“數(shù)據(jù)資產(chǎn)可管、安全風險可見、API操作全面留痕”：

1.?動態(tài)資產(chǎn)梳理：系統(tǒng)共識別到 2000+對外暴露的應用系統(tǒng)、2w+API 。并發(fā)現(xiàn)疑似下線應用 15 個?、API 378 個。這不僅可以幫助企業(yè)更好地理解和管理API資產(chǎn)，也是識別并解決安全問題的重要依據(jù)。

2.?智能風險監(jiān)測：此次系統(tǒng)共識別發(fā)現(xiàn) 1900?個 API 存在高危脆弱性風險，發(fā)現(xiàn)一起每日?0-2 點黑客暴力破解的攻擊行為。系統(tǒng)持續(xù)監(jiān)控API的脆弱性、合規(guī)、攻擊行為，讓企業(yè)能夠及時了解風險，防范在先，扼殺事件發(fā)生的可能。

3.?API全流量審計：系統(tǒng)全面留存API審計日志180+天，形成詳細的審計日志。這不僅可以在事后幫助查明問題的原因，也使得API的調(diào)用更為透明，防止不正當操作和攻擊行為。

“先進級”?API?安全產(chǎn)品憑什么先進

去年安恒信息API風險監(jiān)測系統(tǒng)就通過信通院全面測試評估，在?API?資產(chǎn)管理、API?安全監(jiān)測、API?安全防護、API?審計四大安全模塊的成熟度評測中均達到“先進級（最高級）”要求，成為全國首批通過API安全能力評估的產(chǎn)品。讓我們來一探究竟，安恒的 API風險監(jiān)測系統(tǒng)究竟有哪些優(yōu)勢，被評選為首批最高級 API 安全產(chǎn)品。

1.?告警準確：基于多年的數(shù)據(jù)安全經(jīng)驗積累，風險監(jiān)測準確度達到?96.4%，以超高的準確率和全面的覆蓋度全面領先 API 數(shù)據(jù)安全市場。

2. 性能優(yōu)越：采用前沿的流量分析技術(shù)和高性能、穩(wěn)定的產(chǎn)品架構(gòu)，單產(chǎn)品解析流量大小達到 10Gbps。在此次測試過程中，2 臺產(chǎn)品即可覆蓋客戶近 20Gbps 的 API 流量。

3. 策略全面：內(nèi)置100+敏感數(shù)據(jù)標簽、14套數(shù)據(jù)分類分級模版、10大類脆弱性風險策略、5大類行為風險策略。

4. 場景創(chuàng)新：首創(chuàng)以數(shù)據(jù)維度風險監(jiān)測模型，以數(shù)據(jù)為線索監(jiān)測安全風險，根據(jù)線索自動繪制API風險鏈路關(guān)系，可用于發(fā)現(xiàn) API 二次封裝、核心數(shù)據(jù)監(jiān)測等場景。

隨著API在企業(yè)中的重要性不斷提升，API 資產(chǎn)安全管理成為確保企業(yè)核心業(yè)務安全可靠的關(guān)鍵。通過采用安恒信息的API風險監(jiān)測系統(tǒng)，能夠有效提升 API 數(shù)據(jù)資產(chǎn)管理能力，持續(xù)發(fā)現(xiàn) API 脆弱性、數(shù)據(jù)泄漏風險，確保企業(yè)在數(shù)字化轉(zhuǎn)型過程中的數(shù)據(jù)安全。

更多資訊

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，數(shù)據(jù)在我們?nèi)粘Ｉ钪邪缪葜絹碓街匾慕巧?/span>與數(shù)據(jù)相關(guān)的數(shù)據(jù)安全、數(shù)據(jù)資產(chǎn)化、數(shù)據(jù)交易等問題也愈發(fā)受到國家和社會的關(guān)注。3月7日，國務院提出組建國家數(shù)據(jù)局，進一步推動數(shù)字中國、數(shù)字經(jīng)濟建設。

在此背景下，由安恒信息董事長范淵和安恒信息高級副總裁、首席科學家劉博主編，多位領域權(quán)威專家合作編寫的《數(shù)據(jù)安全與隱私計算》應運而生。書中，作者們結(jié)合多年在數(shù)據(jù)安全領域?qū)嵺`積累的經(jīng)驗，對數(shù)據(jù)安全和隱私計算進行了深入探討，并介紹了數(shù)據(jù)安全和隱私保護的最新動態(tài)和實用技巧。