共计 1937 个字符,预计需要花费 5 分钟才能阅读完成。
7 亿多 Linkedln 用户的数据被在暗网售卖;Parler 网站波及 1000 万用户超过 60T 的数据透露;Clubhouse 泄露 130 万条用户记录……近年来 Web 利用数据泄露案例层出不穷,究其根因,其实是——API 不够平安。
所谓 API,即利用程序接口(Application Programming Interface),能够利用于所有计算机平台和操作系统,以不同的格局连贯数据、调用数据。比方,消费者能够在电商平台查问所购商品的物流信息,这理论就是电商平台与物流公司之间应用“API 地位实时调用”产生的成果。
在千行百业数字化转型的背景下,API 成为了数字化体验的核心,APP、WEB 网站和小程序等利用的外围性能、微服务架构等均离不开 API 的反对。不过,许多企业谋求疾速的 API 和应用程序交付,却漠视了 API 平安爱护。因而,针对 API 的攻打也成为了歹意攻击者的首选。
9 月 28 日,腾讯平安正式启动 API 平安公测,联动腾讯 Web 利用防火墙、腾讯平安威逼情报、腾讯天御业务平安等能力,帮忙企业全面辨认 API 危险,针对性收敛 API 裸露面,构建全面、智能、精准的 API 平安进攻体系。
API 平安面临四大挑战
安全隐患往往藏于“未知”,API 广泛利用于新业务、新场景、新环境之下,泛滥企业用户并不理解本人领有多少 API,就更别提保障每个 API 都具备良好的拜访控制策略,未知的僵尸 API、未知的影子 API、未知的敏感数据裸露等亘古未有。
据 Gartner 权威研报预测,到 2022 年 API 滥用将是最常见的攻击方式;到 2024 年,API 安全隐患导致的相干数据泄露将近乎翻倍。目前来看,企业的 API 平安面临四大挑战,要求咱们对 API 资产的全貌做清晰的盘点:
1、利用和逻辑迁徙上云,裸露更多攻击面:绝对于传统数据中心的单点调用,企业服务上云后,调用的起源和范畴更广,东西向和南北向都可能成为 API 的攻击面。
2、强调开发速度和灵活性,疏忽构建 API 平安:更多企业转向采取麻利开发模式,但在晋升软件构建效率的同时,企业对于如何构建 API 安全性短少适合的办法,难以顾及 API 平安。
3、外部接口短少保护,引发多种攻打隐患:开发利用时,可能会波及大量的外部接口书写,因为人员变动、不足保护等起因被疏忽,给攻击者留下突破口。
4、企业低估 API 危险,造成安全措施脱漏:构建利用的过程中,企业对于可能存在的平安危险较为乐观,防护措施有余,低估了上线后 API 被攻打的可能性。
(API 平安面临的四大挑战)
而 OWASP 也依据可利用性、弱点普遍性、弱点可观测性、技术影响、业务影响等维度梳理了十大最要害的 API 平安危险。从 OWASP API Security Top 10 咱们也能够发现,如受权、身份认证、平安配置等危险,均是因为咱们在设计到上线过程中没有针对裸露面做好及时的收敛,因而意外造成的数据泄露、API 滥用、权限外泄等事件也难以抑止。
(OWASP API Security Top 10)
腾讯 API 平安产品聚焦 API 进攻体系打造腾讯 API 平安聚焦 API 进攻体系打造,以异样裸露面治理为首个冲破重点,助力企业全面盘点 API 资产、智能发现 API 动态变化及危险趋势、精准辨认 API 裸露面及敏感数据,帮忙企业收敛 API 裸露危险。
腾讯 API 平安辨认异样裸露面的解决思路次要分成如下三个步骤:
1、摸清家底:通过流量剖析,自动化盘点 API 接口,动静盘点业务 API 调用关系,将僵尸 API、影子 API、涉敏 API 一网打尽。
2、洞悉危险:联合腾讯平安能力积淀,洞悉业务流量中可能存在的危险问题,疾速辨认以后 API 业务场景,理解业务的危险趋势及可能存在的破绽威逼。
3、合规经营:继续辨认 API 参数裸露面,对各类敏感的参数信息、后盾参数等进行继续检测,包含但不限于银行卡号、身份证号等信息,避免敏感信息泄露。
而异样裸露面发现的基石就是 API 的资产发现和流量剖析能力,腾讯 API 平安解决方案具备如下五大劣势,能够对 API 危险进行发现及管控:
01: 零部署,即开即用
针对已接入 WAF 的域名,一键即可开启 API 平安管控能力。
02: 资产全自动发现
实时剖析业务拜访日志,主动发现 API 资产并动静梳理资产用处、变动。
03: API 业务场景辨认
疾速梳理发现敏感裸露面,如文件上传、业务回调接口、优惠券散发、短信验证码发送等场景,便于及时治理。
04: API 流量剖析
精准辨认 API 申请形式、拜访场景、敏感参数信息等,可视化剖析 API 危险概览、申请趋势、攻打趋势,提供针对性防护策略。
05: 联动腾讯天御、威逼情报能力
内置腾讯天御业务平安能力、腾讯平安威逼情报能力,全面辨认 API 资产的网络安全危险及业务平安危险,提供联动防护。
疾速参加公测
可扫描下方二维码,申请收费体验或直通产品经理交换