现代API安全实践 - 刘沛旻_Imperva

现代API安全实践

API经济时代

• eBay: 2000年开放API，目前累积数万个应用服务，通过API的交易占总交易的70%。
• Amazon: 2002年开放API，支持小型零售商在其平台上开店，显著提升营收。
• 阿里巴巴: 其旗下天猫、淘宝、物流、支付等均有开放API，支持合作伙伴和客户生态。

API安全发展趋势

• API使用量: 80%的业务使用APIs，每个机构平均使用至少3300个APIs。
• API安全重要性: API安全成为云原生应用优先投资的安全方案。
• 数据泄露: 45%的数据泄露来自APIs和Web应用程序。

2022年API风险态势

• 网络攻击: 月均API攻击量超过25万次。
• 金融行业: 2022年第一季度数据泄露事件占比40.25%，其中金融借贷、证券、银行和保险分别占20.44%、9.91%、6.76%和3.14%。
• 具体案例: 2021年12月，某证券公司客户信息数据通过API被非法售卖。

API与传统应用的区别

• 虽然现代API和传统应用都是基于HTTP/S请求，但它们的应用架构完全不同。

API安全策略

• Gartner建议: 以OpenAPI Specification (OAS)为核心，构建API安全。
• 核心思想: 统一语言，消除障碍，快速迭代，采用标准化规范实现自动化测试和防护。

API文档的重要性

• OpenAPI Specification (OAS) 是前后端开发人员联系的纽带，用于编写清晰、易用的API文档，便于快速对接和调用。

API安全实践

• 开发阶段:
  • 定义OAS文件。
  • 使用规范校验工具检查代码潜在问题。
  • 基于OAS生成安全审核报告。
• 测试阶段:
  • 快速导入OAS文件生成自动测试脚本。
  • 进行模糊测试和渗透测试。
• 运维阶段:
  • 持续监控API，梳理敏感接口。
  • 建立基于OAS的白名单安全模型。
  • 导入OAS到WAF/GW进行安全控制。

API治理

• 敏感数据类型: 定义并发现请求和返回中包含敏感数据的API接口。
• 持续监控: 实时发现并分类侦测API滥用问题和OWASP API Top 10的安全问题。
• 自动化测试: 利用OAS生成自动化测试脚本，进行模糊测试和安全渗透测试。
• 集成到DevOps: 了解应用持续变化，为运行的应用提供保护，避免bug，提前发现影响安全的代码。