2022-05-09 13:13:57 来源:商业新知网
随着数字经济时代的到来,移动互联网业务场景迎来大爆发的同时,Web应用程序接口(API)也经历了指数级增长。
作为移动互联网生态的重要信息基础设施,API承载着数据交互的重要作用,在开发新的工具和产品或管理现有工具和产品时,强大灵活的API可以简化应用开发、管理和使用,节省时间和成本,为企业带来更多创新机遇。
瑞数信息在《2021 Bots自动化威胁报告》中提到,作为一种轻量化的技术,API在全球范围内受到企业组织的高度青睐,应用接口呈现爆发式增长。相比2019年,2020年API流量同比增长2.8倍,44%的企业正在建造和维护100个或更多的API。
但伴随越来越多的应用开发深度依赖于API之间的相互调用,API的绝对数量及调用量呈井喷式增长,其安全风险已经成为企业面临的首要问题,身份验证、授权和意外泄露或数据泄露等安全挑战随之而来。
Gartner也曾预测,到2022年,API滥用将成为导致企业Web应用程序数据泄露的最常见攻击媒介。
编辑搜图
API面临数据安全与业务安全的双重风险
API的高价值使之成为黑客的觊觎目标,API一旦被恶意利用,黑客有可能获取大量敏感数据,给企业带来严重损失。包括FaceBook、Linkedin这样具备一定安全能力的大型互联网公司都遭遇了因API安全问题导致的数据泄漏事件。
·2018年10月,Facebook对外公布了一起大规模数据泄露事件,攻击3000万用户的隐私账号信息被攻击者泄露。Facebook表示,攻击者利用了Facebook“ViewAs”功能接口的三个漏洞,用户可以通过该功能看到个人主页的展示样式,这一功能被攻击者利用获取了大量用户的隐私信息;
·2021年4月,一个自称GOD User TomLiner的攻击者通过API漏洞入侵了7亿多Linkedln用户的数据,并在 RaidForums暗网论坛上出售这些数据,领英回应称,该数据集是攻击者“从领英抓取的”。
针对API的攻击正成为黑灰产及黑客的首选,相较于传统窗体和Web页,API承载的数据价值更大、攻击成本更低,通过攻击API来获取高价值数据、进行业务欺诈等成为越来越多非法分子的常规手段。
传统API安全网关逐渐失灵
安全419在此前与多家安全厂商的沟通交流中了解到,甲方企业在API安全管理方面主要面临两大难题:
其一是,许多甲方企业对自身API资产情况并不掌握,不清楚自身企业当前有多少API,也不能保证当前每个API都具有很良好的访问控制。此外,就算很多企业都采购了API安全网关产品,但也不能保证所有的系统都会上网关。比如,在一些短期的营销活动中,相关的API就会被忽略,在活动结束后变成被遗忘的影子API和僵尸API,为攻击者敞开大门。
其二是,利用自动化工具在合法授权下针对API发起的攻击数量激增,攻击者大量采用以机器模拟正常用户行为、运用大量代理IP进行大规模攻击等多种方式来避免速率限制。针对API的攻击正在变得更加复杂化、多样化、隐蔽化、自动化。在这样的攻击手段下,传统API安全网关提供的身份认证、权限管控、速率限制、请求内容校验等安全机制逐渐失灵。
在API这一并不新鲜的战场上,攻防双方已经展开了更进一步的“军备竞赛”。安全团队和攻击者都在将更复杂的技术带入竞争环境中。攻击者必然会越来越多的将注意力转向API方向,并且无疑会开发出更多更先进的攻击工具和方法对暴露在外的API加以利用。当然,作为网络安全的防守方也并不会束手就缚。
API安全成为热点赛道
安全厂商提出创新思路
纵观当前火热的API安全赛道,众多的厂商都在以各自的视角去看待、思考,并结合自身能力提出安全建设思路,为API接口提供完整的安全管控方案。
在本篇中,我们将对上文曾提到过的瑞数信息的API安全管控平台进行简要介绍。个人看来,这家的API安全思路具有明显的说服力与创新价值。
瑞数API安全管控平台
——以AI为支撑的行为分析技术作为突破口
有别于很多从API安全网关角度切入的安全厂商,瑞数信息以AI人工智能为支撑的行为分析技术作为突破口,推出一种新兴API融合防护方案——瑞数API安全管控平台(API BotDefender),集成了API资产发现、攻击检测、参数合规检测、行为检测、敏感数据识别、异常行为拦截处置等功能,覆盖了从资产发现到拦截处置的全链条。
瑞数API安全管控平台(API BotDefender)通过建立多维度访问基线和API威胁建模,对API接口的访问行为进行监控和分析。一方面,监控基线偏离状况,针对高频情况等进行防护,防止高频情况等造成的API性能瓶颈;另一方面,高效识别异常访问行为,避免恶意访问造成的业务损失。
同时,为了防止非法API调用,瑞数API安全管控平台(API BotDefender)通过从API网关上获取API认证和鉴权数据,防止未授权的API调用,保障API接口只能被合法用户访问。
总体而言,相较于传统API安全方案,瑞数API安全管控平台(API BotDefender)着重强调API安全防护能力的提升,以行为分析为基础实现从API接入客户端到API服务器端的全程式API安全威胁防护,其优势也十分明显。
苹果工程师宣布 iOS 15 5 将重新引入 Apple Music API,这样第三方音乐播放器能够在应用内调整歌曲的播放速度。Apple Music 团队的
继从 Play Store 下架所有有声读物之后,亚马逊正关闭该平台上的 Kindle 数字图书购买。这归咎于 Google Play的新一轮活动,自今年
从 TCL 华星获悉,5 月 6 日,TCL 华星高世代模组扩产项目全面封顶仪式在惠州市仲恺高新区 TCL 产业园举行。据了解到,TCL 华星表
据国外媒体报道,已进入苹果iPhone OLED面板供应商行列、去年开始为6 1英寸版iPhone 13供应OLED面板的国内面板制造商京东方,自2月份以来
5月6日早间消息,微软今晨面向Dev和Beta通道的Insider会员推送Windows 11新预览版,操作系统版本号Build 22616。微软指出,版本中移除了
Google Maps 导航界面即将迎来重大升级,在最新测试版中允许用户选择最喜欢的出行方式。本次升级会带来一个更简洁的用户界面,让用户可以
据《韩国经济日报》报道,LG显示(LGD)已决定从2022年下半年开始,将液晶电视面板产量减少至少10%,并停止对此类生产的新投资。2022年5月初
APP上新永不停。
西湖区模式的成功,也为全国各地进行以数字经济为发展引擎的城区创新提供了有益借鉴。
近两年,随着精品化时代的来临,游戏的品质逐渐提升,次时代、开放世界、多端互通、3A级手游开始成为游戏厂商布局的重点。
虚拟数字人是“虚拟+数字+人”的综合产物,打破物理界限并给消费者提供拟人服务与体验。
美智库坦言,不应高估中国的科研实力,美国现在对华科技战略完全正确,美国应该继续坚持现有的科技战略。