API安全治理总结
主要内容
- API流量增长:API访问流量占比从2016年的46%增长到2020年的83%,反映了API在企业中的重要性增加。
- API安全问题:失效的旧版本API和未知的影子API是最主要的关注点。
- 案例分析:多个知名平台如淘宝、新浪微博、通达信、航空公司及领英等因API安全问题导致数据泄露,影响广泛。
关键数据
- API流量占比:2016年46%,2020年83%。
- 失效API问题:42%的客户认为这是最需关注的问题。
- 影子API问题:11%的客户认为这是最需关注的问题。
API安全挑战
- 旧版本API隐患:存在大量未关闭的老版本API,容易被利用。
- 未知API风险:存在大量未知的API,增加了安全风险。
- 敏感数据泄露:多次数据泄露事件表明,API安全问题严重。
解决方案
- 资产发现与管理:自动发现API资产,识别接口类型和样式,进行分组管理。
- 安全防护措施:实施访问控制、异常行为管控、敏感数据识别与脱敏。
- 闭环管理:建立从发现、监测、感知到保护的闭环体系,实现全面的API安全管控。
安全威胁
- 爬虫攻击:占API攻击的76%。
- 撞库攻击:针对金融服务的撞库攻击占75%。
- 外部数据泄露:80%的数据泄露来自外部攻击。
技术手段
- 异常检测:通过基线比对、行为审计和威胁评分进行异常检测。
- 敏感数据管理:定义、识别和脱敏敏感数据。
- 攻击防护:实现接口参数和调用顺序检测,提供全面的安全防护。
拓展应用
- WAAP一体化:从API安全扩展到Web、APP和小程序的防护,实现全面的Web应用安全保护。
通过上述措施和解决方案,可以有效提升API的安全水平,防止数据泄露和其他安全风险。
