江毅 - 现代API安全实践_Imperva

API安全实践总结

eBay

• 开放时间: 2000年
• API数量: 数万个
• 交易贡献: 约占总交易的70%

Amazon

• 开放时间: 2002年
• 业务影响: 小型零售商在电子商务平台开店，显著提升公司收入
• 市场地位: 公有云服务市场的领导者

阿里巴巴

• 开放API: 天猫、淘宝、物流、支付等
• 应用领域: 金融开放平台的核心，数据和服务开放的中介

API安全趋势

• API使用率: 80%的业务使用APIs
• API数量: 平均每个机构至少使用3300个APIs
• 安全投入: API安全成为云原生应用优先的投资方向
• 数据泄露: 45%的数据泄露源自APIs和Web应用程序

2022年API风险态势

• 网络攻击: 月均超25万次API攻击
• 行业影响: 金融行业在2022年Q1数据泄露事件占比达40.25%
• 具体案例: 国内某证券公司在2021年12月遭遇数据泄露，原因在于内部系统数据API管控疏忽。

API与传统应用的区别

• 架构不同: 虽然都是HTTP/S请求，但现代API与传统应用的应用架构完全不同。

API安全建议

• 多层防护: 叠加多种防护手段
• Gartner建议: 建议以OAS规范文件为核心，实现API安全

API安全核心理念

• 以OAS规范为核心: 统一语言，消除障碍，实现自动化测试和防护
• API文档重要性: OpenAPI Specification (OAS) 为开发者编写易用、清晰的API文档

API安全实践

• 开发团队:
  • 定义OAS文件
  • 使用规范校验工具检查代码
  • 获取Imperva提供的OAS文件安全审核报告
• 开发及安全运维团队:
  • 快速导入OAS文件生成自动测试脚本
  • 基于OAS进行模糊测试和渗透测试
• 安全运维团队:
  • 持续监控API
  • 建立白名单安全模型
  • 导入OAS到WAF/GW进行安全控制

API治理

• 定义敏感数据类型
• 发现请求和返回中包含敏感数据的API接口
• 集成API安全到DevOps

如何了解更多现代API安全实践详情

请关注我们的公众号。