为何要格外重视并积极应对API安全挑战？

2022年3月12日，由永安在线发起的“ASMC·API安全管理论坛·上海站”圆满落幕。

 

众所周知，API安全在今天已经是网络安全行业的一条热门赛道，但到底是什么推动它获得如此多的关注而成为热门呢？围绕API的在当前到底给企业带来了怎么样的风险和挑战？作为企业，面对当前的API安全形势该如何应对呢？围绕着这些话题，多位来自安全企业以及包括九方智投、中银证券、平安科技、蔚来汽车、锦江酒店、中通快递等甲方企业的安全负责人，各自结合自己工作中的亲身体会和实践，在本次论坛现场展开了探讨。本文是将其中一些重要话题和论点提炼而来，以期望能够为大家认知API安全的重要性以及如何做好API安全管理提供一些参考。

为何我们要关注API安全？

在数字化转型过程中的当下，数据已经成为重要的生产要素，它需要通过流动才能创造更高的价值，在这一背景驱动之下，API的数量急剧增长，与之相关的安全风险也在同步增长。在该论坛中，包括安全企业、甲方用户在内的多位嘉宾都强调了API安全在当下的重要性，在他们的发言中可以充分体会到大家的一个共识——API安全风险爆发所导致的后果很有可能会造成企业所不能承受之重。

 

可以看到，基于API安全问题所引发的事件几乎每隔一段时间就能见诸报端，其中最为典型的事件就是此前国内某大型社交平台因其用户查询接口导致APP数据泄露，影响用户数量高达5.38亿，影响范围之广令人瞠目，给企业自身更是造成了严重的负面影响。

 

据永安在线发布的《2021年黑灰产行业研究及趋势洞察报告》中的内容显示，仅在2021年内，就有多个不同行业的头部企业因API安全问题导致爆发数据泄露事件，如：

 

• 2021年7月，国内某大型教育机构数据接口暴露在外，API被恶意爬取，最终导致其40万条用户信息数据，在暗网被售卖。

 

• 2021年9月，国内头部旅游公司因内部系统API被内鬼利用，导致包括个人姓名、手机号、航班号及起降时间等敏感信息泄露，随后这些信息被发现已在数据交易平台中进行售卖。

 

• 2021年10月，国内头部物流公司因离职员工数据访问权限未及时收回，导致后台系统中包括寄件人姓名、手机号、运单编号、产品类型以及配送信息等敏感内容的订单数据发生泄露，以每日5万条的量级在数 据交易平台被售卖。

 

• 2021 年12月，国内某证券公司因内部系统数据API管控疏忽，导致包括客户姓名、手机号、开户时间、交易情况等敏感数据在内的客户信息遭泄露，以每日1万多条的量级在数据交易平台被售卖。

 

这一个个发生在身边的鲜活案例，都意味着API安全所能制造的风险并不亚于任何其他的网络安全威胁。

 

论坛现场，也有嘉宾分享了一个关于API风险的场景：

某企业想要举办一场活动，需要邀请客户参与，于是技术部门开始提供支持，企业将邀请信息以短信的方式发送到客户，客户通过点击短信中的链接去填写包括姓名、就职单位、职位、手机号码等个人工作信息进行报名。在信息收集完成后，活动负责人需要导出客户列表已确认活动的参与人员，然而，由于技术人员认为这是一个临时需求，因此为了图省事就直接将API接口放出，所有参与活动的客户信息就通过该接口直接让负责人查看。可怕的是，这个API接口没有上任何的防御措施，甚至访问权限都没有设置，只要调用这个接口，该所有参与活动的客户信息就全都一览无余。

 

看到这里，相信大家都很明白了，这个潜在的风险一旦爆发，后果不堪设想。

 

事实上，因API 管控不当造成的内部安全缺陷，已是引发数据泄露的主因。这里依然引用永安在线所提供的数据，在其2021年对监控到的1700余起数据泄露事件进行分析后发现，引发数据资产泄露最大的原因有：

 

（1）API 管控不当造成的内部安全缺陷，占比达 45.45%，这主要是企业数据流转节点的不断增多，导致大量无法感知到的 API 暴露在外，被黑产利用并进行攻击导致；

（2）运营商/短信通道泄露，占比达 36.23%；

（3）内部人员泄露，占比达 14.83%。

 

值得一提的是，在排名第三的原因——内部人员泄露中，也有很大的可能是内部人员越权而非法利用了API，或者是离职员工权限未及时收回导致。因此，实际上因API管控不当造成的数据泄露风险已经超过50%。

 

同时，随着海内外网络安全相关法律法规的不断健全，一旦发生安全事件导致数据泄露，其所面临的不仅是经济损失、声誉损失，还会触及违法风险，面临更为严厉的惩治。来自某互联网企业的安全负责人黄鹏华在论坛中以《强监管下企业数据安全风险管控的思考》为主题的发言中，重点提及了数据安全监管惩治力度的变化，在2017年6月施行的《网络安全法》中，最高罚款额度为100万元，在2021年9月施行的《数据安全法》中，最高罚款额度升至1000万元，而在2021年11月施行的《个人信息保护法》中，最高罚款额度最高达到了5000万元或上一年度营业额的5%。

一面是API极易出现的安全问题，一面是API爆发安全问题后所面临的严重后果。不难看出，API安全的形势在当前格外严峻，其所涉及的数据泄露风险很有可能会给企业带来致命的打击。

为何API安全总是难以做到位？

 

既然已经意识到日益严峻的API安全形势，为何当前的API安全却普遍做得不够好呢？这也是在论坛中讨论较多的话题，但最终都指向了两个问题：

 

一、传统的安全防护难以满足API安全所需

 

参会嘉宾表示，很多企业在安全建设方面的投入依然集中在传统层面，这对于API安全而言几乎是苍白无力的，主要集中在以下几点：

 

1、传统的安全防护手段主要以边界安全为主，在安全能力上无法覆盖到API敏感数据的保护，从而导致API数据泄露和违规访问的风险依然无法规避。

 

2、主流的WAF等产品目前也更多的是覆盖客户端和服务器之间的南北向流量，而对不同服务器或数据中心之间的东西向流量却是一个盲区。

 

3、API网关虽然可以在解决授权及认证方面表现出一定的能力，但问题在于——并不是所有的API都会在网关注册，而业务上会存在大量的影子API。同时，它仍然无法做到感知和防御海量虚假号码及秒拨代理发起的低频攻击。

 

二、企业对于API安全重视程度存在不足

 

根据过往的经验能够看出，安全建设上的不足其根源还是在于企业的重视程度，如果给予足够高的重视，那么在API安全建设上必然也会有的放矢。这一点在论坛中也得到普遍的到了大家的共识。

 

从整个安全的角度看，如果企业没有一个将安全嵌入到业务之中的态度，那么其对安全的重视程度可能也仅限于满足合规，在这种情况之下，无论是相关安全管理制度建设的落地执行程度，还是人员的日常安全意识的教育和培养程度，都不会拥有较高的水平，对于API安全管理而言也同样如此。

 

张福明在发言中表示，在一些企业管理者眼中，一切以业务为重，只要没有爆发安全问题，或者爆发的问题没有让企业感受到深深的痛，那么这些在安全团队眼中的问题，也许就不是问题。如果一个企业管理层都抱有这样的态度，那么必然会传导到整个企业的员工中去。

▲九方智投产品技术总监 张福明

张福明在这里分享了一个实际工作中的体会，他所处的团队中有大约有200多人是专门负责写代码的，无论是依靠某一个人去具体管理所有人还是通过规章制度去管理所有的事情，总还是会有各种例外发生，比如开发者出于各种原因未能遵循标准的API开发规范；再比如研发的人员流动问题，人员更迭之间的交接过程肯定会存在一个断层，之前的人是否埋下过什么风险，后面的人如何发现和弥补等等都有很多的未知数。

 

“这些问题尽管都想得到甚至看得到，但是在内部强大的业务需求压力之下，去要求API、代码等等相关的安全建设水平能够同步跟进，的确是一件很难的事情。”张福明说道。

 

即便是研发人员的经验非常丰富，抑或即便是有相关制度在制约，但如果重视程度不够或制度执行不到位，那么也无法保证安全，仍有可能会因为各种因素（包括前文所述案例中的人为因素）导致API接口成为安全缺口。

 

通过嘉宾们上述的发言不难总结出一个结论——传统的安全产品不能更好地满足API安全所需之外，对安全重视程度不够问题似乎更为严重，也就是“业务大于安全”，这是一个老生常谈的问题。

 

当然，尽管安全很重要，但对不同阶段的企业，一概而论的要求业务和安全要绝对对等发展也是不现实的，这也是我们为什么需要更好的安全工具、产品和解决方案去平衡这一问题，在API安全管理上，也同样如此。

三大难题--API安全管理面临的主要挑战

通过对嘉宾现场的发言整理会发现，即便是对API安全有了足够高的重视程度，但是在实际相关安全建设过程中，仍会面临诸多挑战，其中主要来自于以下三大难题：

 

一、API数量急剧增长导致API资产梳理难。

 

企业几乎每天都会有新的业务需要上线，但未必每一个新业务都会经过安全部门的完整审计，从而难以在第一时间发现和识别这些新增的API。

与此同时，存量API的数量庞大，永安在线COO邵付东在此前接受采访时就表示，“一个短期的营销活动，有些企业的人员可能会觉得反正它上线不久后也会下线，所以并没有将相关的API上到网关，但根据我的亲身经历来看，大多数这种情况的结果都是最后没有下线。”

 

在他看来，仅仅是了解自己的系统中有哪些API，都成为企业在目前这种追求快速迭代情景下难以应对的问题。

二、有效应对方案匮乏导致API风险感知难。

 

这一点不难理解，由于此类攻击流量隐藏较深的特点，令API所存在的业务逻辑缺陷，以及如何识别正常流量中的恶意攻击流量都难以通过规则运营及渗透测试去发现，因此其风险的感知难度很高。

三、自动化手段的缺失导致API威胁阻断难。

 

虽然很多企业也配备了一些安全设备，但在大量的报警信息中可能只有几个是有效的，随后如何去有效的阻断？这无疑是企业API安全管理的一项巨大挑战。

 

这些核心问题在本次论坛中也被再次提及，参会嘉宾在发言中特别强调道，企业所研发的系统、功能都是为了业务服务，API作为连接系统和前端的接口，在遭受攻击时，其攻击流量是隐藏在正常的业务流之中的，这种情况之下，用户自身是很难鉴别哪些是正常流量而哪些是攻击流量，进而更难以去有针对性地阻断。

 

张福明指出，这些问题最终的表现就是——满足需求的功能上线了，但在这之中是否存在安全隐患，却没有办法去侦测。为了满足在线业务的需要，其相关系统的迭代速度往往很快，但是API安全管理没有做到位，风险也会伴随而来。“很悲哀的是，可能到一个系统下线的时候，我们都不知道它是有漏洞的，而且曾被攻击过。”

应对挑战的新策略--基于情报建立API安全基线

面对前面所提到的API安全管理的难题，永安在线所提出基于情报建立API安全基线的方式也给大家提供了一种新的解题思路。

▲永安在线产品总监 黄巍

首先，通过旁路流量分析，能够以持续动态的方式去梳理API资产，做到只要API一上线或开始服务就能够被快速梳理出来，同时还可以掌握到哪些敏感数据是在流动的。同时，结合外部情报对流量分析的能力能够不断更新API识别的引擎，以保证API梳理的准确性。

 

其次，透过外部威胁情报和黑灰产情报的补充，既可以有效帮助发现实时风险，也能确保识别的准确性。运用情报的能力，可以捕获到攻击的流量、攻击中使用的自动化工具、攻击中使用的资源（IP、账号、手机号等），随后将这些原始情报经过永安在线情报分析系统的自动化分析，会提取出攻击目标，也就是哪些API被攻击了。同时也会提取出攻击IOC，用于识别和阻断恶意的API流量，还会聚类攻击源提取出攻击团伙，从而便于对攻击进行溯源。

通过应用基于这一策略的解决方案，就可以帮助企业用户去很好地应对具有前述三大难题特征的API安全挑战。 

提高人员安全素养与应用专业安全产品

       做好API安全管理需要双管齐下

尽管API安全管理面临诸多的痛点、难点，但也并非缺乏对策。一方面要从自身内部的管理层面入手不断加强，建立和完善相关制度建设，并培养相关人员的安全意识和素养，尽可能地避免甚至杜绝人为制造API安全问题的可能性。另一方面，还需要借助专业力量的支持，专业的API安全管理产品、解决方案，能在很大程度上帮助企业解决API的不可知、不可控两大核心问题，快速建立起有效的API安全防线。

 

当然，最重要的仍然是企业管理者对API安全的认知和重视程度，看完上述论坛嘉宾所分享的真实体会和案例可以感受到，无论是从合规角度还是从自身业务角度，API安全都应成为企业安全建设中的重要关注点之一，而不是可有可无的。

 

作为业内首个聚焦于API安全问题的专业论坛，永安在线表示，API安全管理论坛将会持续举办，以致力于为业界搭建一个深度交流和探讨API安全问题的平台，联合更多的甲方企业以及开发人员、安全人员等群体一同探讨如何更好地实现API安全建设相关话题，为企业治理API安全风险提供有力参考。据透露，下一期论坛也已在规划之中，有兴趣参与的朋友敬请期待。

点击下方名片，关注永安在线

如有合作需求，请后台留言~

原文始发于微信公众号（永安在线情报平台）：为何要格外重视并积极应对API安全挑战？