4月25日,由中国信息通信研究院安全研究所主办,数据安全共同体计划承办的“智享数安——API安全技术应用及未来发展研讨会”在北京成功召开。
图片:数据安全共同体计划
全知科技API安全产线产品专家 陈焱芳为线上线下与会的嘉宾带来了《API安全运营闭环实践》的主题分享,与业内专家一起基于API安全开展深入交流。
(文末扫码,获取课件)
随着云计算、大数据技术的蓬勃发展,web应用、移动应用、微服务应用等快速兴起,API开始与企业业务发展高度融合。
作为连接数据和服务的关键通道,API承载着海量数据的流转、交互,越来越多的业务应用深度依赖于API的调用。
API应用业务场景十分丰富。在不同的业务场景下,一些风险特征或模型很难做到通用;同时企业内部混合着十几年前的应用系统和新上线的系统,API存在多样化的复杂形态,每家的实现可能都不一样。
API安全虽然一直在发展,但现在还是处于探索阶段,业界如何解决API安全问题,还没有形成一个普遍认可的最佳实践,所以企业在落地API运营建设的时候容易缺乏指导,难分主次。
即使在一些安全建设比较领先的行业,也大多存在能力分散、产品孤岛的问题。产品能力、工作流程之间都没有很好地打通,同时缺少对漏洞和风险的生命周期管理,没有形成闭环,实际运营的效率还是比较低。
从企业视角来看,看不见API资产加剧了整个API风控运营体系的实施。对此,建议企业结合自身的业务状况,依据API“发现-分类-评估-监测-拦截-分析“等步骤有序开展API安全实践,即以“主动发现API资产、完成API接口分类分级”为安全基建,逐步打造API弱点评估、风险监测、威胁拦截、异常行为审计、集中管理等能力,最终实现API安全运营闭环的落地。
➣ 以风险主体(ip、账号等)为中心,发现异常行为模式,发现数据异常调用行为等未知威胁
☑ 集中管理统一运营:通过威胁情报管理、暴露面治理、风险聚集性挖掘、异常行为审计分析等API运营手段,汇聚分析API风险并进行集中管理,打破孤岛效应,提升运营效率
从长远来看,基于全知科技多年来在API安全建设方面的项目沉淀,建议企业从以下3个角度切入,提高对API风险管控机制的建设与运营实践,真正落地API安全运营的完整闭环,为企业发展带来长效收益。
-
能力集成闭环:通过与用户现有的工作流程集成及与用户现有的平台/技术措施集成,形成有效的闭环验证机制 -
风险自动化运营:结合API接口上下文画像,正常基线&异常离群风险,风险规则的自动调整,加强风险自动化运营能力 -
用户使用路径:基于企业自身的职责边界情况,设计清晰的用户使用路径,实现可视化的参数配置和精细化运营
在最后的圆桌讨论环节,现场嘉宾围绕API安全产品在实际应用中存在的痛点和难点、API安全产品产业需求展望、数据安全产品互联互通瓶颈及解决方案等议题开展交流讨论。
原文始发于微信公众号(全知科技):API安全运营闭环实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论