API漏洞导致的数据泄漏事件频发，互联网企业如何保障API安全？

2022年12月1日15:21:25评论106 views字数 3379阅读11分15秒阅读模式

近年来，互联网行业蓬勃发展，由网页时代步入了APP、小程序时代，云原生、微服务、低代码等新技术打破了传统的IT治理架构，作为用户与应用之间的交互通道，API的数量激增，所承载的功能也更加复杂，在现代应用程序架构中发挥着非常重要的作用。

但与此同时，随着移动端业务的快速迭代，API的威胁暴露面也大量增加，互联网企业面临的风险问题进一步显现，安全形式不容乐观：

1.企业自身API资产不清晰，不可见

传统互联网时代，企业可以对PC端的服务API进行爬取或通过开发维护和更新API文档，梳理自身API资产。然而，在APP、小程序时代，移动应用业务繁多，API接口变化很快，梳理成本极高，因此安全人员对企业开放API的数量、老旧API是否下线、传输参数和敏感数据流动等信息都是未知的，无法进行渗透测试，安全措施难以全面覆盖。

2.敏感数据多方流通，调用爬取难以审计

开放性是互联网的固有属性，数据信息也需要通过API在企业与用户、企业与企业之间多方流通交互。业务的开放性本身可以让"互联"更加高效，降低互联网企业多方交互的成本。但由于互联网企业本身拥有着大量用户敏感数据，开放性也会给企业带来严峻的数据安全挑战：企业很难感知到合作方或第三方机构是否存在过多爬取敏感数据，异常调用数据的情况。

3.业务更新迭代快，API容易“带病上线”

互联网行业竞争激烈，产品更新频率高，在敏捷开发时，企业往往以业务优先，安全测试投入方面则会相对缩水，而承载敏感数据的开放API如果在上线开放前未经过安全测试，很容易存在未授权访问、关键涉敏数据未脱敏或者伪脱敏等缺陷，从而直接把缺陷API直接暴露在攻击者面前。

2021年，美国互动健身平台Peloton因后端API存在未授权访问缺陷，导致近300万用户个人隐私信息可以被随意获取，泄露的隐私信息包括用户ID、位置、体重、性别和年龄等。

4.黑产攻击趋于隐蔽，未知攻击很难防御

现如今，黑产攻击时会利用大量的、低成本的动态代理IP伪装成正常的请求流量，绕过传统WAF和API网关的策略对敏感数据进行低频、慢速地爬取；同时，API往往承载着企业的业务逻辑，有时单个的API看似符合安全规范，但攻击者可通过组合多个API的方式实施攻击，导致传统防御措施失效。攻击流量隐藏在正常的业务流量中，很容易造成企业对API攻击无感知的攻防不对等的情况。

2021年，攻击者通过某大型电商平台商品详细信息API和信息分享API，可以爬取到用户的数字ID和昵称，同时，还可以通过该平台的分享API，爬取到用户手机号信息共计11.81亿条。

近年来，因API缺陷导致的安全攻击事件屡见不鲜，企业一旦遭到攻击，将可能造成用户敏感数据泄漏、高额营收损失、品牌声誉受损等严重后果。

那么，互联网企业该如何在开放共享、高频迭代的业务环境下，保障企业API安全呢？

在永安在线与企业客户的合作中，某大型互联网平台（D公司）也遇到了同样的挑战：D公司开发人员多，业务迭代快，但安全人员配备少，企业对自身API和流动数据的资产和风险都不可知，曾发生过较严重的因API漏洞导致的用户数据泄漏事件。

D公司安全运营人员表示，他们需要一个安全解决方案，可以实现对企业API资产与敏感数据流动的动态梳理、API缺陷的检测识别以及API风险的及时感知。

面对D公司的安全挑战及需求，永安在线提供以API为中心，以情报感知能力为核心的API安全管控方案，基于资产梳理，缺陷检测，攻击可控三大关键能力，先于攻击者发现攻击面，通过API安全护航企业应用安全。该方案主要有三个环节：

1）全方位自动化梳理API资产与敏感数据流动情况

自动化梳理APP、小程序、网页中面向用户、内部员工、合作伙伴及第三方供应商等开放场景中的API，建立完整可视化的API资产清单，及时了解API开放数量、API活跃状态、僵尸API、缺陷API、涉敏API等情况。

通过流量梳理API资产的同时，还会对流量中流动的用户敏感数据进行识别和提取，并对提取出来的敏感数据类型进行分级分类，确保数据资产持续更新和可见。同时，对于可返回明文「三要素」（用户姓名、手机号、身份证）、「四要素」（用户姓名、手机号、身份证、银行卡）的API进行重点监测，确保敏感数据应用的安全合规。

「安全效果」

梳理API资产台账：梳理API资产15916个，其中涉敏API 4330个；梳理站点196个，域名14个，其中涉敏站点90个。