日前，由 MobTech 袤博科技主办的【CoderPark】第三季第一期「数安有为——移动应用安全技术与实践探析」直播活动圆满落幕。梆梆安全 API 安全产品专家仇乐就“基于端到端的全渠道安全解决方案”话题进行了精彩分享，解码新型业务模式中的企业 API 安全建设思路和解决方案，全面构建 API 运行时安全“护城河”，助力企业数据安全治理建设。

移动应用面临新型挑战

随着数字化转型的快速发展，线下业务线上化、线上渠道多样化使得企业的 API 类型和数量呈现爆发式增长，也带来了诸如数据泄露、企业名誉/利益受损、业务运行中断、安全合规难度加大、资源配置成本增加等安全风险。

造成 API 安全风险的原因主要由以下几点构成：

安全管理缺失
安全配置错误
API逻辑漏洞
拟人攻击难抵御
防御自适应能力弱

近年来，我国陆续出台多部数据接口（API）有关标准，对数据接口在不同领域的应用、部署、管理、防护都进行了规范。国家标准层面，我国现行及制定中的多部国家标准针对 API 安全提出具体要求；通信行业标准方面，权威机构就 API 安全生命周期已给出建设指导意见；金融行业标准方面，发布了多部标准规范。随着云计算、移动互联网等领域的快速发展，API 运行时安全已成为企业今后安全发展的重要一环。

端到端风险防护思路

API的广泛应用对安全机制提出了更高的要求，应用侧、WAF、API 网关三个维度的传统安全机制已经难以支撑企业业务的智能化转型需要：

应用侧重度依赖静态防御，无法实时感知风险，无法做成相应的处置；多渠道的安全能力差异（木桶效应），导致攻击者会优先选择攻击难度更低的轻应用；安全与业务发展不同频，传统的基于事前渗透测试难以完全覆盖所有业务。

WAF主要解决应用层注入、XSS等常规网络攻击行为，其检测能力主要依赖于单次包过滤及简单统计，在应对高级拟人化攻击、复杂攻击场景时无法有效防御，且无法解决 API 接口上所承载的数据安全风险。

API网关主要能力在认证、鉴权，对攻击检测能力弱，使用方式往往需要人工进行注册，需要施加人工管理，在这种情况下容易造成僵尸 API 及影子 API 问题。

基于上述问题，梆梆安全不断打磨整体方案的规划设计，对以上痛点各个击破，确定了端到端的全渠道风险防护关键点，以更好地支撑企业高质量发展。

端到端的全渠道风险防护关键点

1. 静态防御措施全渠道覆盖

由于目前客户渠道众多，且部分API接口存在多渠道API接口共用，攻击者在发起攻击时，往往会选择防护能力最弱的渠道发起攻击，故在做静态防御措施时需要针对于全渠道进行静态防御。

2. 动静结合&端到端联动

动静结合的安全防御策略是一种使用广泛的安全防御思路，动态安全防御机制需要与现有的静态防御机制进行联动及协同防御。在端到端的全渠道API安全防御思路中，动态防御机制需要能够：

实时感知客户端风险：加固破解、动态攻击等；将前端风险感知与后端流量感知相结合，实现端到端的安全协同；
前端风险感知能力亦需要纳入当前的静态保护范围，防止被逆向分析。

3. 实时防御&全渠道联动

针对前端风险的防御机制需要做到实时防御，同时防御措施需要多样化；不同渠道的安全防御能力需要协同，针对APP侧的风险情报能够同步至轻应用侧进行联防联控。

端到端安全解决方案

梆梆安全—API安全平台通过对 API 上线运行后的数据流量实时检测，解决 API上线运行后面临的各种安全风险，为企业建立一套完整的 API 安全防御管控机制，产品从 API 资产管理、 API 风险检测、 API 敏感数据识别、API 防护管控四大核心模块，助企业解决资产数据难治理、风险行为难发现、数据泄露难感知、威胁攻击难防护等四大安全问题，最终帮助企业梳理出清晰的 API 资产台账、看清 API 风险、掌握 API 异常行为、可视化展现 API 敏感数据包括数据流动画像，以及对威胁攻击建立起安全防护机制。

API安全平台能力架构图

端到端&全渠道风险联动图示

多年来，梆梆安全始终深入研究攻防技术，针对 API 接口的威胁入侵、黑灰产、违规异常行为、恶意攻击行为等，建立了完备的核心规则库；结合专业的前端监测及流量分析能力，形成前端（设备、系统、应用）与后端（基线、行为、漏洞）相结合的端到端协同监测能力；拥有完善的代码加密、密钥白盒及通信协议保护等技术，实现闭环。

面向未来，梆梆安全将继续打造适配金融、互联网、物联网、政府、运营商、企业、医疗、能源、教育等各大行业的安全解决方案，不断深入洞察行业用户需求，帮助企业构建全方位、多层次的移动应用数据安全体系，以数字信息化培育新动能，推动新发展，创造新辉煌。