梆梆安全谭阳：API安全防护要做到端到端和全渠道

谈到网络安全，总会让人想到那些耸人听闻的数据泄露事件、大规模的系统瘫痪、惊心动魄的黑客攻击。然而,在这些事件的背后,往往隐藏着一个不起眼但至关重要的角色——API。随着企业数字化转型的深入,API已经成为连接各个系统、承载核心业务和数据的关键枢纽。一旦API出现安全问题,就如同堤坝出现了裂缝,洪水随时可能决堤而出,给企业带来难以估量的损失。这就是为什么近年来,API安全俨然成为网络安全领域的一个新"风口"。企业开始意识到,API安全不仅关乎自身的安危,更关乎客户的信任和品牌的声誉。

本期《牛人访谈》邀请到梆梆安全API安全产品专家谭阳，围绕当前API安全态势，API安全防护的挑战、误区和最佳实践，以及未来API安全的发展趋势等进行了深入的讨论，期望给企业在进行API安全防护提供参考和启示。

从2018、2019年之后，国外有很多公司开始关注API安全，国内也慢慢开始热起来。根本原因在于API正在被看作是企业的核心数字资产，是一种新型“信息基础设施”。大约在四五年前，全球企业开始进行数字化转型，很多业务都往线上迁移，APP、小程序、Web等应用渠道越来越多。以银行和运营商为例，绝大部分业务都能线上办理。在业务驱动和信息技术发展的背景下，API安全逐渐成为影响业务安全、数据安全和安全管理的突出问题，在金融、运营商、政府等领域备受关注。

API上所承载的数据安全问题也逐渐暴露，API安全在很大程度上决定着企业业务的安全性，且随着企业业务架构从单一架构转至微服务、服务网格架构，内部的数据交换、模块关联等大量采用API的方式进行连接，API 运行时安全更是成为企业今后安全发展的重要一环。

在国内，运营商和金融机构关注API安全是合规和业务安全诉求的双轮驱动，而其他行业更多的驱动力则主要是安全风险和安全攻击事件。

多年来,各种传统安全产品，如WAF防火墙、IDS/IPS 等，已较为成熟,能够有效防御一般的攻击行为。但当前API安全防护带来了新的挑战，传统的安全机制已经难以为继，需要引入新的防护机制。

传统的业务层面安全主要关注反刷单、反虚假注册等，而API接口层面攻击出现了拟人化的特征。攻击者模拟正常用户行为,发送看似正常的报文,绕过传统检测。如此，传统的基于规则或特征的检测,如查杀SQL注入等,已难以有效防御这类新型攻击。我们需要结合更多维度的数据,如用户行为模式、设备指纹等,才能更有效地发现和防御新型的拟人化攻击。

我举近两年发生的两个典型案件来说明下：

一是人脸识别绕过问题。人脸识别在各行业广泛应用，生物特征从前端APP采集通过API接口传到后端。传统防护机制将防护重点放在后端，如人脸识别模型、服务器是否被入侵等。但是攻击者可能通过API接口窃取人脸照片数据，在APP端输入虚假人脸数据。这成为业务安全场景中新的挑战；

二是洗钱场景。以前赌博网站或诈骗分子通过购买身份证号、注册银行卡收款。随着国家打击力度的加大，网络犯罪分子就开始破解第三方商城、市政交通卡充值、水电费充值等API接口，二次封装后在闲鱼等平台以优惠价格充水电费等方式洗钱。可见，以前的防范思路是防止入侵，像在机房门口设保安，只检查明显异常的“带刀”行为，现在攻击者扮成正常用户进入操作，传统方式难以察觉。

在数据安全方面，传统数据安全主要关注内部员工是否泄露数据，因此通过DLP、数据加密、脱敏等机制进行管控。但近年来,数据窃取的新渠道是通过利用API漏洞。比如某政府API存在越权漏洞,攻击者可伪造身份认证后获取敏感数据,而在服务端看来请求报文正常,传统的数据防护措施因此失效。

此外,许多大型企业意识到API承载着核心业务和数据,虽然内部有开发管理规范,但由于项目组多、分散,很难确保所有API开发都符合安全规范。他们希望通过流量分析技术,对API流量进行合规性检查。

因此，从业务安全、数据安全、安全管理这几个方面来看，无论是供给方还是需求方，这两年都高度重视API安全。API成为数据安全和业务安全的新防线。

2024年，我与政府、金融和运营商三个行业超过30个客户进行过交流，发现客户在谈论API安全时，确实存在不少误区：

第一个误区是认为购买并部署WAF和API网关产品，就做好了API安全，对攻击者和攻击态势不够了解，现有防护机制与黑灰产的发展程度不匹配；

第二个误区是决定建设API安全时，选择厂商和技术路线存在问题。国内API安全厂商大概有四类：一是传统的WAF厂商，把WAF产品包装成API安全产品；二是网关类厂商，在网关安全产品基础上扩充限速限流等能力；三是以前专注于数据安全的厂商，利用技术共性采集API流量数据进行资产梳理分析；四是专注于API安全的厂商，如梆梆安全。用户在调研后通常会形成大而全的需求，既需要API资产梳理、敏感数据发现、API漏洞检测、分类分级，又需要实时API风险防护。但API安全本质是建设一套能力，而不是买一个产品。由于各厂商技术基因和积累不同，用户选购的产品和服务与当前阶段的核心安全诉求可能不匹配。比如，线上API接口面临实时攻击风险的用户，应选择像梆梆安全这样核心能力是API风险防御的厂商。若选择偏重于内网数据安全或数据分类分级的厂商，上线后效果就会与预期差异很大。

为此，梆梆安全设立了专业的客户分析团队和框架，来帮助客户选择解决方案和产品：一是业务维度，考虑业务线上化程度、业务特点，比如分析线上业务是否可能被用于洗钱、是否提供大量数据、业务渠道形态等；二是分析内部现有的安全机制情况；三是综合考虑客户面临的监管压力，比如了解运营商的安全要求。然后再根据这些分析，给客户制定分期的建设方案：如果客户监管压力大且线上业务面临攻击可能不多，那就优先考虑建API资产盘点和合规性检查；如果金融、政府等行业线上数据多，优先建API实时攻击发现能力。

从全局来看，用户应该关注以下三块：

第一块是全面的资产盘点，很多客户误以为有文档或网关发布API接口就够了，这实际存在安全管理瑕疵，可能出现僵尸API等情况，甚至有客户在生产版APP中写入测试地址。梆梆安全使用自研资产识别引擎，可自动化发现所有内部使用、外部共享和第三方组件的API资并进行自动化进行归类，帮助企业掌握全局API资产；

第二块是API上线后的实时攻击防御。这是目前80%客户首先建设的能力，因为安全管理或安全左移是治本过程，但上线后因前期技术负债会导致运行时的攻击风险，所以必须采用技术手段实时发现访问并实时处置。在实时攻击防御上,不能只关注后端API接口,还需要结合前端数据进行端到端防护。因为API 接口实际上是由前端客户端访问的,如果对前端无感知,防御能力将大大降低；

第三块是API安全管理，从开发阶段的规范合规、系统漏洞检测,到上线后的数据分级治理,全方位落实安全管控。目前线上化机制只能解决部分自动化漏洞分析，要将人工检查和自动化工具需要结合使用,发挥各自的优势,以达到更好的防护效果。

梆梆安全本质是应用安全领域的核心厂商，专注于移动安全多年，在大量的实战过程中对攻击态势、检测和防御手段积累了丰富的经验：我们在API安全产品中引入了新型资产识别和分类算法用于API资产梳理；在给众多客户进行人工渗透测试过程中积累了3000多份渗透测试报告，并将其中的敏感数据和漏洞检测数据输入到人工智能和机器学习模型中用于提炼漏洞识别算法；实时攻击防御是梆梆安全也是有别于其他厂商的亮点。

目前，我们已经积累了110多个风险检测点，其中，前端检测点占比约40%,包括模拟器、云手机、定制ROM等；后端流量检测点及前后端结合检测点占比约60%。

具体到产品上，梆梆·API安全平台通过对API上线运行后的数据流量进行实时解析及检测，解决API上线运行后所面临的各种安全风险，帮助企业建立一套完整的API安全防御管控机制。产品从资产管理、风险检测、敏感数据识别、脆弱性检测、风险防护管控等几大核心模块，帮助企业解决资产数据难治理、风险行为难发现、数据泄露难感知、威胁攻击难防护四大安全问题。

针对当前的API安全态势，我们提出了“端到端”和“全渠道”的概念。

所谓“端到端”，是指产品综合利用前端检测技术与后端流量分析技术，在API访问端和API服务端之间建立端到端的安全访问机制，对API请求发起方的身份、设备状态、行为轨迹等进行全方位检测，有效防范API被恶意访问和攻击，降低企业在设计API之初所遗留的安全风险。在前端，我们针对各种客户端应用渠道,集成专门的安全SDK，生成设备指纹,对访问终端的合法性和安全状况进行全面检测。在发起API请求时，SDK会加入安全因子,判断该请求是否来自官方客户端。在后端，当API请求流量到达服务端后,系统会基于发起请求的设备,建立行为分析模型。比如说，分析访问序列的合理性,判断是否符合正常业务场景的行为轨迹。恶意攻击脚本很难模拟出正常用户的访问轨迹。像订机票有正常行为轨迹，恶意流量通过脚本难以模拟。我们引入了零信任理念，建立可信机制，确保前后端访问行为均经安全认证。

所谓"全渠道"，是基于攻击者往往会选择最薄弱的渠道入侵，所以解决方案需要覆盖所有客户端渠道,后端安全分析平台共享各渠道的风险情报，实现多渠道的协同防御。同时，我们采用了AI/ML技术，针对大量的业务往来和频繁的业务更新，以及不断变化的攻击方式，进行动态持续化的检测及自动化防御机制，解决企业在数字化转型下建立的新业务所带来的新型安全风险等问题。

在国外，安全厂商对SaaS技术采用程度高，可提供API安全的SaaS服务，但国内SaaS模式很难推动，数据接入困难。

在此背景下，国外的产品模式是在企业内部部署流量采集节点，分析引擎和大脑则在云端，随着客户增多数据积累也随之增多，产品更新迭代更加方便。在国内，这种模式难推进，因此产业形态有所差异。但是，双方解决问题的关键点是相同的，那就是主要解决实时线上攻击防御和漏洞检查两大问题。国内厂商，如梆梆安全，在攻击防御方面的大趋势与国际一致，即关注APP内保护和后端API安全平台。但在漏洞检测方面，国内厂商向先进的国际同行学习，如引入基于机器学习的漏洞挖掘算法。目前国内很多依赖WAF的漏洞检测，如sql注入等。

AI驱动的漏洞检测自动化，是当前业界关注的一个热点。不过，我估计国内至少还需要两三年时间，相关产品、应用才能成熟起来。现在很多厂商都希望在这方面有所表现，但是苦于缺乏机器学习模型所需的样本。相比之下，梆梆安全和其他一些传统网络安全厂商在进行人工渗透测试过程中已经有了较多的积累。最终结果如何，还将取决于厂商自身基础积累、重视程度和投入资源。

此外，安全运营非常重要，要通过安全运营机制把生产问题转化成为研发需求，形成闭环。比如，2024年，梆梆安全在某国有银行的驻场人员发现了一个骗贷的新攻击点，紧急开发了一个识别模型，并为已购买产品的客户进行更新。未来，我们希望引入AI技术来降低人工参与的比例，更精准地发现潜在攻击点，形成运行时的攻击分析闭环，同时引入新的检测能力，并与开发环节形成闭环,实现新能力的快速迭代。