• 永安在線首屆API安全管理論壇成功舉辦

    首頁 / 業界 / 企業 /  正文
    作者:藏青
    來源:安全419
    發布于:3周前
    12月3日,由永安在線舉辦的首屆API安全管理論壇在深圳舉辦。在論壇上,OWASP中國的廣東區域負責人肖文棣、騰訊技術工程事業群安全專家胡珀、樂信集團信息安全中心總監劉志誠等多位專家從不同視角對API安全帶來的挑戰與風險進行了深度剖析,并分享了針對性應對策略與治理的最佳實踐。
     
    伴隨著云計算、移動互聯網、物聯網的蓬勃發展,越來越多的開發平臺和第三方服務快速涌現,應用開發深度依賴于API之間的相互調用,API承擔起連接服務和傳輸數據的重任。隨著API廣泛應用及快速不斷增長,在帶來巨大便利的同時API也帶來了新的安全問題,如何讓API安全與發展同行,成為各大企業迎接數字化變革的重要一環,同時也得到了安全行業的廣泛關注。
     
     
    OWASP 中國廣東區域負責人肖文棣在演講中指出,在當今由應用程序驅動的世界中,API(應用程序編程接口)已經成為了創新的基本要素。在銀行、零售、運輸到物聯網、自動駕駛汽車和智慧城市等多種場景下,API 已經成為現代移動、SaaS 和 Web 應用程序的重要組成部分,并廣泛分布于企業面向客戶、面向合作伙伴以及內部的應用程序中,因性質使然,API 會暴露應用程序邏輯和個人身份信息 (PII) 等敏感數據。正因為如此,API 逐漸成為眾多攻擊者的目標,沒有安全的API就不可能實現快速創新。
     
    隨后,他對報告中提到的十大關鍵API風險進行了解讀,并結合具體攻擊和案例剖析了不同類型API存在的安全風險,向參與到API開發和維護過程中的開發人員、設計師、架構師、安全人員等給出了詳細的安全設計建議。
     

     
    肖文棣指出,第一,在API接口的開發與維護過程中,授權是極為關鍵的關注點,因此首先要做到的就是關注組合對象、組合功能之間的授權;第二,安全是設計出來的,因此在做威脅建模的時候要采用最小化原則,默認不許可和默認沒有任何權限,只在有需求的情況下進行授權;第三,配置最容易犯錯誤,在API開發時一定不能使用默認值,讓攻擊面最小化;第四,注入是永恒的話題,在開發的過程中要每一次注入、輸入都需要檢驗;第五,通過日志監控是十分必要的監控手段,所有的錯誤都會在日志中有記錄,并且日志擁有無法更改的天然屬性。
     
     
    在題為《新的安全威脅:API安全的挑戰及應對策略》的演講中,騰訊技術工程事業群安全專家胡珀分享了騰訊在API安全治理方面的思考和經驗。
     
    胡珀表示,WEB API本身就是一個CGI公共網關接口,因此API安全一直以來都是WEB安全中的一類,并非是新出現的安全問題。之所以近兩年安全行業開始提高對API安全的重視程度,其背后主要存在幾點原因:
     
    首先,外部黑客緊盯,因為API承載了大量的重要數據和業務,自然會遭到黑客的覬覦;
    其次,行業在API安全方面能力普遍沉淀不夠,開發人員在編碼的時候并沒有考慮到API需要特殊對待;
    此外,企業內部API安全治理能力沒跟上業務發展速度,在企業開始大量的使用API的時候,安全團隊還在重點解決防范攻擊入侵的安全問題,沒有看到API可能給企業帶來的攻擊敞口;
    最后,企業自身的安全機制也存在不足,業內有數據統計,高達75%的企業API甚至沒有做過安全測試,包括在做漏洞掃描的時候都沒有將API作為風險項進行考慮。
     
    具體到API安全治理方面,胡珀介紹了多種思路,包括使用API安全網關通過服務網格治理、在WAF中添加相應的檢測規則和邏輯、依托于威脅情報實現對API安全風險的感知以及基于DevSecOps敏捷安全開發來治理API安全風險等。他建議,企業應該結合自身所處的發展階段來選擇具體的解決方案,以更匹配自身企業的技術方式推動API安全建設的落地。
     
     
    樂信集團信息安全中心總監劉志誠站在數據安全的視角,帶來了以API安全解決數據安全問題的實踐分享。劉志誠談到,API安全實際上是一項在設計過程中保障安全的能力,因此在數據安全方面也可以通過API安全治理來實現數據安全的目的。API廣泛存在于數據的整個生命周期中,因此數據因API而敏感。
     
    劉志誠認為,解決API帶來的數據安全風險,可以從API的認證與鑒權、加密與脫敏、行為分析、行為管控以及審計與追溯等方面著手。防止API引發的敏感數據泄露風險,需要建立起結合預防、檢測、響應和管理為一體的API安全能力。
     
    他提到,除了相應的認證措施、鑒權、加密和脫敏外,還要具備對API的安全檢測能力和預警能力、響應能力,對API中出現的敏感數據,無論其是否存在權限的異常,都要第一時間進行阻斷和溯源。同時還應該形成一套API安全管理機制,定期的對API安全風險進行審計和報告,以保證跟蹤到所有在API環節上出現的數據安全風險狀態整體的可視化。
     
     
    永安在線COO邵付東在《API安全管理的更優解:以情報建立API安全基線》的主題演講中談到,API在當前成為數據流轉的主要通道和基礎設施,也形成了新的攻防面,因為每一個API都有可能會成為系統的薄弱點,而API更是承載著業務和數據的安全。永安在線所提出的基于情報的API安全解決方案--永安在線API安全管控平臺則可以從API資產梳理,API風險評估以及API風險感知等方面全方位幫助企業從容地應對API安全問題。

    他談到,通過旁路流量分析,能夠以持續動態的方式去梳理API資產,做到只要API一上線或開始服務就能夠被快速梳理出來,同時還可以掌握到哪些敏感數據是在流動的。而基于情報所能賦予的能力,更是可以保證針對API的攻擊被及時發現并阻斷,而且精準度很高,而這些特點則進一步形成了該平臺在API資產梳理、敏感數據管理、API風險感知、API安全缺陷評估等多方面的能力優勢。

    邵付東介紹,永安在線API安全管控平臺通過情報為業務建立API安全基線,在實際應用中具備誤判率低,可用性高的特點,能夠做到及時全面感知企業外部API風險的同時,基于精準預警輸出的攻擊者IOC情報,可以聯動WAF或風控系統等快速處置攻擊風險,從而幫助企業實現更好的進行API風險識別及阻斷。
     
    安全419注意到,當前API安全已在業界引起了廣泛的關注,本次活動是業內首個聚焦于API安全問題的專業論壇,為業界搭建了一個深度交流和探討API安全問題的平臺,讓參與本次論壇的開發人員、架構師、安全人員等群體對API安全風險與應對策略建立了更深度的認知,為下一步各企業治理API安全風險提供了建設目標與方向指引。