安博通浅析API层面的数据安全建设

慧聪通信网 2023-08-25 15:31 来源:互联网

【慧聪通信网】 在现代应用架构中,应用开发深度依赖于API(应用程序接口)之间的相互调用。API的绝对数量持续增长,通过API传递的数据量也随之飞速增长。

 Gartner预测,API将成为数据泄露最常见的攻击媒介之一,到2024年,由API安全问题引起的数据泄露风险将翻倍。

 API数据泄露事件频发

 这一预测已成为现实。

 2020年,GitHub开源软件库的API数据被非法释放,其中包括来自用户账户的5.5亿条记录。

 2021年,Facebook的API数据安全事件导致数亿用户信息流出,至少6100万用户的实名信息被泄露,详细到电话、地址等。

 近年来,与API相关的数据泄露事件层出不穷,其中不乏个人身份信息、银行卡信息、健康信息等敏感数据,给各行各业带来了数据安全的重大挑战。

 

安博通浅析API层面的数据安全建设


 数据安全事件的三点成因

 为什么API成为了黑灰产攻击的标靶?

 全球最大的CDN服务商Akamai监测到,2021年API流量占全部互联网流量的83%,且API访问量以30%的速度逐年增加。DevOps及前后端分离的研发模式、云原生、微服务和企业模式都对API有着强烈依赖,这些技术的兴起与广泛应用使API迅猛发展。

 API资产庞大,几乎无法实现严格高效的管理机制,藏匿于网络中的未知API带来了巨大的隐患。API调用过程中的数据流转无法摸清,尤其对API间交互的数据无法感知,导致数据泄露事件频频发生。

 以下三点攻击方式都会造成数据泄露和篡改:

 1、攻击者利用未经身份验证或授权的API访问漏洞,获取敏感数据。

 2、攻击者利用API请求中的弱点,有目的地篡改敏感数据。

 3、未经正确处理的API请求可能导致缓冲区溢出漏洞,造成恶意代码入侵系统并获得高访问权限。

 API安全已经成为数据安全的重要方向之一。这里的API安全是指在API交互过程中保护数据的能力,即确保数据的完整性、机密性和可用性。API攻击的主要目标是窃取与篡改敏感数据,结合敏感数据监控的API防护手段才是切实有效的。

 

安博通浅析API层面的数据安全建设


 “元溯”数据安全产品

 为API安全护航

 API数据安全防护需要全面深入监测:API交互敏感数据与API异常访问行为。那么首先需要发现并采集复杂庞大的API访问路径,可视化展现访问统计和访问趋势,生成API在网络中的活跃状态。

 

安博通浅析API层面的数据安全建设

API资产发现


 API的访问调用伴随着内容数据的传输交互,这种交互复杂无序,且数据类型多样,对数据资产管理者来说很不“友好”。“元溯”通过实时的内容还原与扫描功能,对以API为传输载体的内容数据进行提取还原、分类分级,将其标记为可管控、可分析的数据资产。

 

安博通浅析API层面的数据安全建设

API交互的文件数据


安博通浅析API层面的数据安全建设

API交互的碎片化数据

 “元溯”可从两个维度分析API接口风险,一是API交互数据的非法流转风险,通过数据合规等规则实时展现数据风险;二是API调用行为的异常访问风险,通过业务访问风险规则和WEB攻击风险规则实时展现访问风险。

安博通浅析API层面的数据安全建设

API数据合规监测


安博通浅析API层面的数据安全建设

API访问异常监测

 安博通“元溯”数据安全产品为用户实现API资产自动梳理、API画像绘制、API调用行为监测等功能。在API数据层面,将数据、应用、用户、设备进行有机关联,可视化呈现复杂的API数据交互活动,在此基础上进行数据安全治理。看得见才能管得住,安博通“元溯”数据安全产品为数据治理筑牢防护屏障。



免责声明:凡注明来源本网的所有作品,均为本网合法拥有版权或有权使用的作品,欢迎转载,注明出处。非本网作品均来自互联网,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。