7亿多Linkedln用户的数据被在暗网售卖;Parler网站涉及1000万用户超过60T的数据泄漏;Clubhouse泄露130万条用户记录……近年来Web应用数据泄露案例层出不穷,究其根因,其实是——API不够安全。
所谓API,即应用程序接口(Application Programming Interface),可以应用于所有计算机平台和操作系统,以不同的格式连接数据、调用数据。比如,消费者可以在电商平台查询所购商品的物流信息,这实际就是电商平台与物流公司之间使用“API位置实时调用”产生的效果。
在千行百业数字化转型的背景下,API成为了数字化体验的中心,APP、WEB网站和小程序等应用的核心功能、微服务架构等均离不开API的支持。不过,许多企业追求快速的API和应用程序交付,却忽视了API安全保护。因此,针对API的攻击也成为了恶意攻击者的首选。
9月28日,腾讯安全正式启动API安全公测,联动腾讯Web应用防火墙、腾讯安全威胁情报、腾讯天御业务安全等能力,帮助企业全面识别API风险,针对性收敛API暴露面,构建全面、智能、精准的API安全防御体系。
API安全面临四大挑战
安全隐患往往藏于“未知”,API普遍应用于新业务、新场景、新环境之下,众多企业用户并不了解自己拥有多少API,就更别提保证每个API都具备良好的访问控制策略,未知的僵尸API、未知的影子API、未知的敏感数据暴露等比比皆是。
据Gartner权威研报预测,到2022年API滥用将是最常见的攻击方式;到2024年,API安全隐患导致的相关数据泄露将近乎翻倍。
目前来看,企业的API安全面临四大挑战,要求我们对API资产的全貌做清晰的盘点:
1、应用和逻辑迁移上云,暴露更多攻击面:相对于传统数据中心的单点调用,企业服务上云后,调用的来源和范围更广,东西向和南北向都可能成为API的攻击面。
2、强调开发速度和灵活性,忽略构建API安全:更多企业转向采取敏捷开发模式,但在提升软件构建效率的同时,企业对于如何构建API安全性缺少合适的方法,难以顾及API安全。
3、内部接口缺少维护,引发多种攻击隐患:开发应用时,可能会涉及大量的内部接口书写,由于人员变动、缺乏维护等原因被忽略,给攻击者留下突破口。
4、企业低估API风险,造成安全措施遗漏:构建应用的过程中,企业对于可能存在的安全风险较为乐观,防护措施不足,低估了上线后API被攻击的可能性。
(API安全面临的四大挑战)
而 OWASP 也根据可利用性、弱点普遍性、弱点可观测性、技术影响、业务影响等维度梳理了十大最关键的 API 安全风险。从 OWASP API Security Top 10 我们也可以发现,如授权、身份认证、安全配置等风险,均是由于我们在设计到上线过程中没有针对暴露面做好及时的收敛,因此意外造成的数据泄露、API滥用、权限外泄等事件也难以遏止。
(OWASP API Security Top 10)
腾讯API安全产品
聚焦API防御体系打造
腾讯API安全聚焦API防御体系打造,以异常暴露面管理为首个突破重点,助力企业全面清点API资产、智能发现API动态变化及风险趋势、精准识别API暴露面及敏感数据,帮助企业收敛API暴露风险。
腾讯API安全识别异常暴露面的解决思路主要分成如下三个步骤:
1、摸清家底:通过流量分析,自动化清点API接口,动态盘点业务API调用关系,将僵尸API、影子API、涉敏API一网打尽。
2、洞悉风险:结合腾讯安全能力沉淀,洞悉业务流量中可能存在的风险问题,快速识别当前API业务场景,了解业务的风险趋势及可能存在的漏洞威胁。
3、合规运营:持续识别 API参数暴露面,对各类敏感的参数信息、后台参数等进行持续检测,包括但不限于银行卡号、身份证号等信息,防止敏感信息泄露。
而异常暴露面发现的基石就是API的资产发现和流量分析能力,腾讯API安全解决方案具备如下五大优势,可以对API风险进行发现及管控:
01: 零部署,即开即用
针对已接入WAF的域名,一键即可开启API安全管控能力。
02: 资产全自动发现
实时分析业务访问日志,自动发现API资产并动态梳理资产用途、变化。
03: API业务场景识别
快速梳理发现敏感暴露面,如文件上传、业务回调接口、优惠券分发、短信验证码发送等场景,便于及时治理。
04: API流量分析
精准识别API请求方式、访问场景、敏感参数信息等,可视化分析API风险概览、请求趋势、攻击趋势,提供针对性防护策略。
05: 联动腾讯天御、威胁情报能力
内置腾讯天御业务安全能力、腾讯安全威胁情报能力,全面识别API资产的网络安全风险及业务安全风险,提供联动防护。
快速参与公测
可扫描下方二维码,申请免费体验或直通产品经理交流
腾讯安全正在护航产业安全
金融行业
中国银行 | 招商银行 | 华夏银行 | 中国建设银行 | 江苏银行 | 光大银行 | 微众银行 | 交通银行 | 富途 ……
交通行业
中国航空 | 南方航空 | 海航集团 | 中国航信 | 国铁吉讯 | 中远海运 | 广汽集团 | 上汽集团 | 如祺出行 ……
零售行业
五粮液 | 张裕集团 | 东鹏特饮 | 可口可乐 | 雅诗兰黛 | 永辉超市 | 多点新鲜 | 优衣库 | 名创优品 | 孩子王 | 金拱门 | 中免集团……
互联网
同程艺龙 | 虎牙直播 | 唯品会 | 哔哩哔哩 | 快手 | 知乎 | 京东 | 顺丰 | 蘑菇街 | 三七互娱 | 完美世界 ……
智能制造
三一重工 | 宁德时代 | 富士康 | 中铁集团 | 中粮集团 | 华为 | 荣耀 | 小米 | OPPO | VIVO | 海尔 | 美的……
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...