随着企业数字化转型的加速,越来越多的企业开始使用API技术来构建自己的竞争力和生命力。API已经成为数字时代的信息基础设施,在现代企业的商业模式中发挥着巨大的作用。
然而,随着API自身经济价值的凸显,黑灰产的攻击者和从业者的觊觎也随之而来。API一旦被恶意利用,黑客就可能获取大量敏感数据,给企业带来严重损失。具有一定安全能力的大型互联网公司,如FaceBook、linkedin等,都曾遭遇过API安全问题导致的数据泄露。Gartner还预测,“到2022年,API将成为网络攻击者最常用的载体。”

安全419在和业内很多厂商的朋友交流过程中发现,虽然目前已经有很多厂商涉足API安全,但有趣的一点是,厂商之间的竞争似乎并不激烈。每个人都在从自己的能力出发,从各自不同的角度去看待和思考,结合自己的能力提出API安全建设方案。但某种程度上也证明了API安全并不是一个成熟的市场,安全厂商都在摸着石头过河摸索前进。
瑞树信息是Security 419最近接触的一家应用安全厂商,专注于动态安全技术和AI技术。由于API与应用所面临的安全风险息息相关,所以睿书在API安全领域也有早期的投入。
在本文中,我们再次邀请了瑞士瑞信银行CTO马伟宴带来了自己对API安全领域的观察和理解,围绕API安全市场的发展,瑞士瑞信银行在API领域的技术思路,以及未来API安全的整体发展方向等话题进行了分享。
API正在从技术语言向商业语言转变。
API的本义是应用程序接口,主要功能是实现应用程序或软件组件之间的链接,通过API实现它们之间的交互。马伟宴指出,过去API主要在企业内部使用,API的流动主要基于企业内部应用之间的相互访问。使用API组件可以更快地实现功能重用、功能调整,提高开发效率。“作为一种底层开发技术,除了开发者,几乎没有人会太关注API。”
但随着云计算的发展,在云原生、微隔离等技术出现后,API成为实现微隔离、微服务、云原生的必要组件,甚至已经成为数字化时代的信息基础设施。同时,数字化的发展和企业数字化转型的加速也使得API从一种技术语言走向了商业语言。API不再是一个纯粹的技术名词,正在逐渐走向商业化和商品化,以API为核心的商业模式——API经济也随之出现。
“此时的API已经跳出了原来狭隘的技术范畴,不再只是连接企业组织内部,而是连接企业和供应链上下游的商业生态,成为实现数字化商业服务和数据交换的重要桥梁。马伟宴说:“当API成为IT系统和商业应用程序不可或缺的一部分时,它的安全问题也随之而来。
API的安全性是一个完整的安全命题
马伟宴告诉我们,网络安全法和数据安全法颁布后,API的数据安全合规性成为企业重点关注的问题,因为作为数据交换的接口,API面临着极高的数据泄露风险。但实际上,API的安全不仅仅是数据安全。它面临的风险非常复杂,既有传统的漏洞风险和网络攻击风险,也有API滥用风险、僵尸API、未授权访问和配置不当等风险。“API的安全问题其实类似于应用安全。它既有保密性问题,又有可用性问题,所以如何做好API安全是一个完整的安全命题。”
据她介绍,从瑞士瑞信银行本人接触客户的情况来看,与三年前相比,很多企业用户对API安全性的关注度有所提高,能够清楚地知道API的安全性。在API方面,用户主要面临两大问题。首先是他们不知道自己的API资产,不知道自己有多少API,不知道有多少僵尸API和未授权API;其次,攻击者在合法授权下使用自动化手段对API进行攻击的次数越来越多,但企业不知道自己存在哪些API安全漏洞,如何组织有效的防线。
但实际上,虽然很多企业已经意识到要做什么,但企业界对如何做还不是很清楚。在安全行业,各个安全厂商也在发布自己的API安全产品和解决方案,但企业用户也有自己不同的安全需求,还在观察等待,探索实践。
传统API安全方案的局限性逐渐显现。
据马伟宴介绍,过去企业主要依靠API gateway和WAF来解决API安全问题。API网关主要用于解决访问控制和身份认证,以避免API接口被非法调用。WAF主要通过有规律的方式发现流量中的恶意访问行为,通过寻找已知的风险因素来避免威胁事件。在API数量级还没有爆发的时候,基于gateway和WAF的防护措施简单高效,精心制定的访问控制规则可以将绝大多数风险排除在企业边界之外。
然而,随着IT环境的开放,API的数量和分布呈指数级增长,API协议的多样性、开放访问和与服务相关性相对较强的特点,以及微服务架构下API的快速迭代和变化,使得传统API安全方案面临巨大挑战,使得部署在边界的网关形同虚设。传统的基于规则的WAF保护技术和API网关的身份认证和认证技术已经不能满足现有的API接口滥用、非授权访问和认证等问题。
与此同时,攻击者的攻击手段也在不断进化。攻击者试图通过各种手段发现和滥用API,利用尚未被管理的僵尸API发起复杂攻击,利用自动化手段寻找企业中的业务缺陷攻击API。

因此,面对更加复杂的攻击手段,企业也需要一个更好的解决方案,能够真正阻断API安全风险。
征信:AI行为分析技术是解决API安全的基础。
马伟宴表示,考虑到当前复杂的API安全形势,瑞士瑞信银行还基于自身的技术优势,提出了基于动态技术、Bots识别和行为分析的新一代API融合防护系统,以帮助企业用户实现API资源的安全管理和调用。
不同于众多安全厂商从API安全网关的访问控制角度出发,瑞士瑞信银行推出了全新的API集成防护方案——瑞士瑞信银行API安全管控平台,以AI人工智能支持的行为分析技术为突破口,集API资产发现、攻击检测、参数合规检测、行为检测、敏感数据识别、异常行为拦截与处置等功能于一体,覆盖从资产发现到拦截处置的全链条。
她表示,与传统的API安全方案相比,瑞士API安全管控平台强调对API相关威胁识别和防护能力的提升,基于行为分析更精细、更准确地识别风险,实现从API访问客户端到API服务器的全程序API安全威胁防护。
图:征信API安全控制平台
在技术路线上,瑞士瑞信银行API安全解决方案的核心竞争力表现在两个方面,一是AI人工智能支持的智能行为分析技术,二是覆盖整个API安全的动态安全技术。
具体来说,其智能行为分析技术整合了大数据分析、语义分析等多维度分析技术。它可以在用户与应用程序的交互过程中收集数据,并使用统计模型持续监控和识别恶意行为,检测异常请求,并实时感知安全威胁。
瑞士API安全管控平台通过建立多维访问基线和API威胁建模,对API接口的访问行为进行监控和分析。一方面,监控基线偏差,防范高频情况,防止高频情况导致的API性能瓶颈;另一方面,可以高效识别异常访问行为,避免恶意访问造成的业务损失。
针对API参数调用较为复杂的特点,瑞士瑞信银行还在API控制平台中加入了自学习机制,以进一步实现API请求参数的合规控制和不合规请求参数的实时控制。
其动态安全技术的优势主要体现在可编程对抗的动态响应保护级别上,因为API安全和应用程序安全有一些区别。在应用安全领域,防御者可以直接拦截攻击行为,但在API场景下,每个拦截的对象都是服务场所的调用行为。如果拦截了业务功能的调用,必然导致功能不可用。具有动态响应保护能力的瑞士API安全管控平台,可以采取更细粒度的响应动作,可以根据行为分析结果或指定条件进行动态响应保护,提高反向检测或机器学习分析等攻击手段的难度。
据悉,除了API攻击防护,在敏感数据控制的场景下,瑞士瑞信银行的API安全控制平台也有自己的优势。马伟宴表示,在平台建设过程中,睿书RD团队将敏感数据的内容识别性能作为重点方向,投入了大量工作。目前平台在手机号、银行卡号、身份证号等敏感数据的识别效率。可以超过行业平均水平十倍左右。此外,平台可以实时对敏感数据进行脱敏或拦截,避免数据泄露的风险。
据她介绍,瑞士瑞信银行正在积极参与多个行业API安全标准的制定和讨论,尤其是在API敏感数据的识别方面,这将是瑞士瑞信银行未来的重点方向之一。
API安全仍处于发展的早期阶段。国内厂商弯道超车无望。
作为当前API安全领域的代表性厂商,瑞士瑞信银行如何看待API安全目前的发展阶段?我们也请马伟宴分享了他对API安全未来发展方向的看法。

在她看来,从整体市场环境来看,当前API安全的整体发展经历了从无意识到有意识,从有意识到系统建设的阶段。“我们看到一些领先行业的用户,包括金融行业和运营商行业,已经开始系统地考虑API安全建设,而不是单点覆盖。很多企业在考虑建设自己的数据安全系统和应用安全系统的时候,就已经把API作为一个整体纳入了采购的范围。在他们的领导下,相应的安全施工规范和标准也在编制中。一些落后的行业一定会顺应这样的安全趋势,加紧API安全建设的步伐。”
从技术角度来看,API安全技术也处于早期发展阶段。包括API安全网关厂商、云原生安全厂商、行业内各个安全领域的厂商,都在探索API安全未来的发展方向,从不同角度提出解决方案。无论是数据安全还是应用安全,相关的技术手段都处于不断丰富的过程中。
马伟宴说,现在对客户和安全供应商来说都是一个非常好的机会。在客户端,还有很多值得探讨的地方,包括需求、规划、标准等。对于厂商来说,在客户需求的驱动下,厂商的技术手段会逐渐打磨,更加成熟。这是一个互利互促的良好发展阶段。可以预见,未来几年市场上提供的API安全产品必然会更加成熟。
根据Gartner的技术成熟度图,API安全性目前处于较低的峰值区间,离成熟还有一段距离。这也说明国外相关厂商可能比国内更成熟,但是国内信息技术领域的优势也非常明显。虽然起步较晚,但仍有很大希望在API安全领域实现弯道超车,快速达到国际领先水平。
期待从国际安全的角度看到中国安全厂商在API安全领域的出现,让我们拭目以待。


