是时候重视API安全了 星阑科技发布“萤火”安全分析平台
2021-07-24
来源:中国信息安全
可以说,API(Application-Programming-Interface,应用程序编程接口)是当今数字世界的基础设施。无论是云上应用,还是物联时代,API都是SaaS和web应用程序的关键组成部分,尤其随着云原生的发展,API的应用会越来越广泛。相应的,API已为攻击者的重要目标,众多数据泄露事件都与API的安全问题有关。在数字化转型浪潮的今天,没有安全的API,创新和发展都无从谈起。
7月23日,星阑科技发布了新产品萤火“API-Intelligence”安全分析平台。该产品聚焦API安全,采用“大数据分析+异步实时阻断”的方式,提供全景化API识别、API高级威胁检测、复杂行为分析等能力,构建全生命周期的API运行保护体系。
作为一家人工智能、信息安全领域的双料科技公司,星阑科技利用自身专业的技术团队和丰富的网络安全经验,选择了API安全作为数字时代的安全体系基石。在信息化社会,API已经无所不在,支撑着网络和应用的飞速发展。但API的安全问题长久以来却一直得不到足够重视,在这个灰色地带中,各类风险正在不断扩大。
星阑科技CEO王郁认为,在全球加速迈向数字经济的时代,API面临的环境比传统的Web安全更为复杂,API安全是一个交叉方向上的新生安全问题,其面临的10大安全问题包括:无效的对象级授权、无效的用户身份认证、过度的数据暴露、资源缺乏和速率限制、无效的功能级授权、批量分配、安全配置错误、注入、资产管理不当、日志和监视不足。涉及到的安全场景包括数据安全、业务安全等。
“万物互联时代,API是承载应用数据交换的‘血液’。”王郁强调。但当前API安全面临着种种挑战:API数量快速增长,攻击面不断扩大;API安全的实践经验匮乏;外部环境不断变化带来的合规性挑战。为此,在万物互联的未来,我们需要用数据智能的方法去解决复杂的API安全问题,萤火产品的出发点就是构建面向复杂行为的API防护体系。通过以API为切入点, 实现API上面各种载体的安全性。王郁认为,API的安全价值转化和传统的安全思路有非常大的差异,API安全的价值转化是纵向的,即以API为能量入口,构建解决不同场景问题的API的安全应用和服务,纵向转化成不同场景下的安全价值,最终解决数据安全、应用安全的问题。
星阑科技CTO徐越对萤火安全分析平台进行了详细介绍。萤火平台可以实现对API使用情况的实时监控,异常访问的可视化。对流量中的API自动聚合、分类、自定义标签化管理;并以树状图的方式便于管理员进行探索和调查从而实现API统一管控。通过汇集一线红队与Star-Cross Portal实验室的漏洞研究成果,全方位发现API的Web漏洞、应用漏洞、协议漏洞以及数据泄露风险,提供修复方案与加固建议,防患于未然。还能基于企业级大数据分析平台以及机器学习数据实体识别算法,提供符合ISO PI PII标准以及金融、政府、通信行业细分标准的敏感数据实体识别与分类分级能力,并在此基础上针对API恶意攻击事件、数据泄露事件、撞库攻击进行实时告警,使企业能够从容应对漏洞攻击、黑客入侵、数据泄露以及账号滥用风险。此外,产品通过AI驱动的数据模型分析每一次API调用,区分正常访问与恶意攻击,自动更新防御逻辑,联动API网关实现毫秒级攻击拦截,在不影响业务的可用性与性能的前提下,主动屏蔽99%以上的攻击向量。
发布会还邀请了资深行业专家,以主题演讲和圆桌论坛的形式,围绕API安全态势和发展,进行了解读和分享。
中国计算机学会计算机安全专委会荣誉主任严明:对数据要素掌控和利用能力,已成为衡量国家之间竞争力的核心要素。数据安全是网络安全、社会安全乃至国家安全不可或缺的关键要素,而数据安全保护中,API安全是一个常见但又不为人熟知的挑战,需要安全服务商提供更强有力的技术支持和服务保障。
苹果资本创始人胡洪涛:对应现实世界,API就像随处可见的道路,它是数字世界的基础设施,重要程度不言而喻。很多API通信标准,例如RESTful API,已经在物联网、微服务、云原生等场景都得到了非常广阔的应用。根据Adroit市场报告显示,到2028年API管理市场总规模216.8亿美金,其中API安全占了30%,API安全市场具有无限的潜力。
360政企安全集团首席战略官潘柱廷:API安全已日渐成为网络应用方面的主要技术需求之一。未来,开发人员需要进一步加大对于API业务模型、分析能力、技术蓝图、以及合规性与标准化方面的深入研究与开发。
腾讯安全玄武实验室负责人于旸:星阑此次发布的API安全产品萤火,在弥补传统安全方案中不足的同时解决了新兴的API安全风险,解决了传统API安全网关的部署与维护成本高的问题,符合当今技术发展趋势,具有非常重要的意义。
华为云首席安全生态官万涛:云原生是必然的IT演进趋势,在数据交互的方式上API占比将越来越高,云时代下,API出了问题,不仅会影响用户的使用体验,威胁个人的隐私安全,也会使企业面临数据安全风险。所以,在云原生时代下做好API安全至关重要。
元起资本创始管理合伙人何文俊:从投资角度看安全产业的发展有三个维度,第一是有没有新的IT对象需要被保护,第二是行业是否会出现新的安全机会,第三是安全攻防技术的演进和迭代。API安全问题符合第一个特征,未来市场对API安全的需求会不断增加,前景看好。
数世咨询创始人李少鹏:无论在国内还是国际上,API安全日渐成为网络应用方面的主要技术需求之一。研发人员需要进一步加大对于API业务模型、分析能力、技术蓝图、以及合规性与标准化方面的研究与开发。
“聪者听于无声,明者见于未形”,API安全这个新赛道在充满挑战的同时,也充满无限可能。王郁在总结中表示,未来在复杂的API生态体系下,星阑科技将以用户需求为指引,进行更多的技术创新和场景落地,推出更多新产品,不仅从技术层面做好API安全的防护工作,并且注重对于API监管和合规价值的转化,以满足更多各行各业用户的安全需求,“让智能化的安全能力守护用户的每一次网络调用”。