• 面对外部攻击威胁,怎样确保API安全


    API安全防护要求与建议

    在云计算和大数据时代,网络安全边界逐渐瓦解,内外部威胁愈 演愈烈,导致传统的边界安全架构正在失效,面对如此严峻的“内忧 外患”,安全思维和安全架构亟需进化,数据安全中的 API安全应不 断地创新与迭代,建设真正意义上的、更满足数据安全体系下的 API 安全解决方案

    企业应基于业务场景的人、流程、访问、环境等多维的因素,对 信任进行评估,并通过信任等级对权限进行动态调整,这是一种动态 自适应的安全闭环体系。

    API安全建设的落地需要结合现状和需求,以零信任的核心思想

    设计 API的安全能力和组件,并嵌入到业务体系,构建自适应的内生 安全机制,建议在业务建设之初进行同步规划,进行安全和业务的深 入聚合。

    API 安全解决方案应按照持续“发现”、“检测”、“防护”、 “响应”的安全模型进行安全建设。

    (一) 持续构建发现能力

    1. API资产发现与管理
    1. API自动发现能力

    API发现能力是 API提供者和黑客之间的竞赛,他们在发现 API 时很容易利用这些 API。要在攻击者之前发现 API,可以挖掘 API流 量元数据。这些数据是从 API安全网关、负载平衡器或直接内联网络 流量中提取的。

    1. API资产管理能力

    对 API进行深度的资产梳理和发现,对于帮助安全团队了解不同 应用程序使用的 API以及 API对应的业务属性。

    1. API漏洞发现
    1. 自身业务漏洞发现 随着攻击面的变化及攻击者手段的隐秘多变,企业应建设持续挖

    掘、收集 API相关漏洞的能力和机制,并做好补丁管理。

    1. 第三方组件漏洞发现 企业应在引入第三方组件时充分考虑组件自身安全,避免第三方

    组件引入的漏洞。

    1. API滥用发现

    在 API 运行时加强外部风险感知能力和风险阻断能力的建设尤 为重要,这样才能够及时准确地感知到 API的任何滥用情况,并及时 阻断攻击者的进一步行动。

    (二) 持续构建检测能力

    1. 针对 API漏洞攻击检测

    企业应通过攻击检测技术持续检测针对 API漏洞的攻击行为,并 通过大数据分析技术及人工智能技术对攻击告警进行攻击事件还原 和攻击溯源。

    1. 逻辑异常攻击检测

    企业应构建 API调用链可视化能力,将请求经过的每一个节点都 记录下来,形成一个完整的调用链监控系统。一旦发生请求调用异常 或回溯安全事件时,即可清晰定位到具体环节。

    1. 异常行为检测
      企业应构建异常行为可视化能力,基于可扩展的行为检测模型, 实现对异常高频访问行为、异常数量级数据访问行为、异常时间访问 等异常行为实现全面可视化。

    2. 数据异常流转及泄漏检测

    1. 敏感数据识别

    企业应进行数据分级分类治理,并通过技术手段对 API访问的数 据进行持续监测评估,自动梳理 API接口中的敏感数据流并生成 API 接口与敏感数据映射,确保个人隐私数据、商业数据以及其他敏感数据进行持续监控。

    1. 数据流转检测

    企业应构建全面的数据流转监控,通过识别各种类型的 API,对 API的传输内容进行还原、对其传输内容进行精细化检测来达到“谁 通过什么方式的 API,传输了什么类型的敏感数据”的检测效果,实 现敏感信息流转可视化。

    1. 失陷主机检测

    企业应构建威胁情报检测能力,通过检测分析手段,快速定位攻 击行为,并对攻击行为进行溯源,做到在攻击行为产生恶劣影响之前 及时感知已失陷的主机,从而做到提前预警及快速响应,以降低恶意 攻击行为对内网造成更多的影响和损失,及时止损。

    (三) 持续构建防护能力

    1. 认证授权体系

    企业应基于零信任安全架构构建防护体系,实现统一的认证授权, 对所有的 API内部、外部访问执行可信认证策略。

    1. 访问控制

    认证成功后,还需针对不多的应用执行不同的访问控制策略,并 提供完整的访问控制日志。

    1. 加解密能力

    企业应对敏感信息的交互进行加密,在整个业务流量交互过程中, 特殊的敏感信息需要被加密或做脱密处理,例如身份证号、部分姓名, 银行卡号、交易号等,以减少敏感信息的泄漏风险。

    1. API限流限速

    企业应对 API请求执行一定的限流策略,考虑到系统的处理能力, 需要对 API请求做一定的限流防护。此类场景可以用于缓解基于 API 的 DDoS攻击,有效防止资源消耗在无意义或恶意的 API请求上。

    (四) 持续构建响应能力

    漏洞管理与响应

    企业应构建漏洞管理与响应机制,需建设持续挖掘、收集 API相 关漏洞的能力来实现漏洞可视化,并做好补丁管理,以此来应对不断 变化的攻击面及隐秘多变的攻击手段。

    威胁分析与处置

    企业应构建威胁分析与处置能力,需要具备将所有威胁日志转发 至统一的大数据分析平台,结合业务与应用部门的数据,实现对所有API的统一监控与威胁事件感知,以达到可快速处置威胁事件的目的。

    威胁预警能力

    数据安全空间,攻击、窃密团伙发展出多元化、不同目的、不 同量级的攻击/窃密反馈、持续定点攻击/窃密、攻击意图等特征。

    企业应具备在攻击或窃密事件发生前具备预警能力,进而提前预 防、及时响应。可从业务流量中细化攻击的行为结合攻击者历史情报 信息对攻击者的资源、手法、意图、团伙情况、潜在目标进行关联跟 踪分析,进而构建攻击者情报库,对攻击者进行持续跟踪。

    随着对 API安全问题逐步重视、国家陆续出台多部数据接口有关 的标准规范,对数据接口在不同领域的应用、部署、管理、防护进行 了规范,API安全技术也得到大力发展,当前常见的技术从功能上看 包含了 API 发现、API 身份与访问控制、API 消息安全、API 传输安 全、威胁缓解、API威胁检测、API安全审计、API监测与跟踪、API 管理等几个方面。

    为筑牢 API安全基础,企业应着眼长远构建前瞻性的云原生架构, 应面向微服务和容器环境对 API进行管理与安全防护,从实战化角度 进行 API安全防护体系的建设,将安全落实到 API全生命周期管理的 各个环节,构建具有更好的 API可见性和 API安全检测与响应体系。

    参考资料

    2021年中国软件供应链安全分析报告
    GB/T 24363-2009 信息安全技术 信息安全应急响应计划规范
    GB/T 25058-2010 信息安全技术 信息系统安全等级保护实施指南

  • 相关阅读:
    中小学生使用全光谱台灯对眼睛好不好?2023口碑好的护眼台灯推荐
    loss&BN
    重邮803计网概述
    ODrive移植keil(五)—— 开环控制和电流变换
    Person Search
    大数据:数据策略之CAP理论和BASE理论
    服务器之日常整活
    车载电子电器架构 —— 电气架构释放检查
    抖音矩阵系统,抖音矩阵系统,抖音矩阵系统,抖音矩阵系统,抖音矩阵系统,抖音矩阵系统,抖音矩阵系统,抖音矩阵系统。
    8c安装手册四
  • 原文地址:https://blog.csdn.net/m0_73803866/article/details/127036501