计算机环境已从IT时代进入了DT时代，在实际业務(wù)应用(yòng)中(zhōng)，信息资产(chǎn)有(yǒu)着显著的财产(chǎn)和资源属性，企业的业務(wù)数据，是企业最本质(zhì)的生产(chǎn)要素。数据在流动使用(yòng)中(zhōng)，价值得到了最大的體(tǐ)现，但随之而来的是数据流动中(zhōng)的安(ān)全风险。包括员工(gōng)数据权限管理(lǐ)、用(yòng)途授权控制粗放、泄露敏感数据、离职员工(gōng)权限回收等数据安(ān)全风险2023年1月，十几个汽車(chē)品牌曝出API相关漏洞。遠(yuǎn)程信息处理(lǐ)系统中(zhōng)的API漏洞不仅仅泄露了客户数据，还允许恶意行為(wèi)者遠(yuǎn)程实现按喇叭、闪烁灯、遠(yuǎn)程跟踪、开关車(chē)门、启停車(chē)辆等操作(zuò)； 同月，T-Mobile公(gōng)开承认，黑客利用(yòng)一个API漏洞窃取了3700万客户的数据；2023年6月，Patchstack研究人员报告称，WooCommerce公(gōng)司最受欢迎的WordPress支付插件WooCommerce Stripe Gateway中(zhōng)存在一个严重API漏洞，允许未经身份验证的用(yòng)户查看用(yòng)户订单的敏感数据，包括電(diàn)子邮件和完整地址。该漏洞累计泄露50万以上用(yòng)户的个人隐私数据；同样在6月，Eaton Works的一名(míng)研究人员入侵了某知名(míng)汽車(chē)品牌的電(diàn)子商(shāng)務(wù)平台，通过利用(yòng)API接口漏洞，他(tā)可(kě)以重置任何账户的密码，并获得完整的客户信息、经销商(shāng)信息、付款密钥和内部财務(wù)报告。该事件导致了近4万条車(chē)主记录数据被泄露；此外為(wèi)超过18万家企业提供云“目录即服務(wù)”（directory-as-a-service）的软件服務(wù)商(shāng)JumpCloud公(gōng)司，因API相关漏洞而全部更改了其API应用(yòng)密钥。上述不乏在行业中(zhōng)取得领先地位的企业,部分(fēn)企业对API漏洞的防护处于“心有(yǒu)余而力不足”状态，防护能(néng)力的增長(cháng)跟不上业務(wù)及系统的发展。公(gōng)司业務(wù)规模越大，内部API存量就越庞大、复杂，潜在的数据泄露风险也越大。当前主要的应用(yòng)框架都是富客户端模式，服務(wù)器端更像是数据源，客户端通过在请求中(zhōng)携带参数从服務(wù)器的响应中(zhōng)接收原始数据， 由客户端进行一定的数据处理(lǐ)。这就导致服務(wù)器端需要暴露大量的服務(wù)接口。个人数据信息流不断开放，流动速度不断加快。同时，业務(wù)的不断变化导致接口的生命周期差异很(hěn)大， 如電(diàn)商(shāng)在活动期间上線(xiàn)的功能(néng)，在活动结束后相关的功能(néng)没有(yǒu)下線(xiàn)， 很(hěn)容易被攻击者发现并利用(yòng)。另一方面信息化建设让系统越来越多(duō)如TOB、TOC、内部系统、共享开放等系统，系统更加多(duō)样化，相互间的数据传输大多(duō)数采用(yòng)的API实现方式或前后端分(fēn)离等技(jì )术特点实现，大大增加了API在目前多(duō)个行业的场景。API在带来巨大便利的同时也带来了很(hěn)多(duō)安(ān)全问题，很(hěn)多(duō)企业甚至自己的不知道有(yǒu)多(duō)少API被开放，是否受控使用(yòng)和有(yǒu)效使用(yòng)，有(yǒu)怎样的安(ān)全风险和隐患，就更不得而知。

API安(ān)全造成的影响越来越大，而传统API安(ān)全网关的部署与维护成本高，无法有(yǒu)效防护新(xīn)兴安(ān)全威胁。在此背景下，爱加密创新(xīn)地推出了“爱加密API风险监测平台”，面向Web、APP、小(xiǎo)程序、IoT等应用(yòng)系统的持续动态的流量监测分(fēn)析系统，帮助实现API数据暴露面的治理(lǐ)和对数据攻击行為(wèi)的持续发现。部署在企业/组织的互联网出口，实时监控企业组织API的数据暴露面以及被攻击情况。实现API的资产(chǎn)管理(lǐ)、API弱点发现、实时攻击行為(wèi)监测，為(wèi)业務(wù)创新(xīn)保驾护航。爱加密API风险监测平台通过对镜像流量和pcap文(wén)件中(zhōng)的流量进行解析还原，自动发现流量中(zhōng)的API资产(chǎn)并聚合到应用(yòng)维度，最终以概览、APIs、弱点、风险、态势、报告等维度呈现给用(yòng)户，实时為(wèi)API安(ān)全提供保障。可(kě)通过syslog或kafka的形式对流量 数据进行同步处理(lǐ)，  帮助用(yòng)户及时发现弱点&攻击的变动情况。

API资产(chǎn)全面可(kě)见

系统通过解析API流量，自动持续发现所有(yǒu)内部、外部和第三方 API，提供参数、参数函数和暴露的敏感数据等精(jīng)细细节，帮助了解攻击面并评估风险。自动对接口进行分(fēn)类，识别未知的API与过时、失活的API，有(yǒu)效地减少甚至避免这些未知或失活的API对组织构成重大风险。支持普通接口、Restful接口、when-case接口，支持覆盖个人信息安(ān)全规范上的9大类共计71小(xiǎo)类数据标签的自动识别和打标。通过识别数据暴露面，形成一个数据暴露面清单，方便对API数据暴露面进行管理(lǐ)防止敏感数据被泄露。并可(kě)对应用(yòng)结构的深度还原，还原应用(yòng)的结构特征。

API弱点梳理(lǐ)

系统可(kě)基于流量中(zhōng)的API资产(chǎn)自动发现API弱点，并针对这些弱点特征进行合理(lǐ)的分(fēn)类分(fēn)级，支持5大类21小(xiǎo)类的弱点监测，支持检测的弱点类型覆盖了口令认证类、数据暴露类、访问权限类、高危接口类、安(ān)全规范类等维度。不仅能(néng)提供API弱点还可(kě)提供补救见解，显示弱点详细信息；还原接口的请求和返回内容，提供查看接口样例的功能(néng)，能(néng)够减少排查时间并帮助客户安(ān)全团队高效地进行脆弱性修复。

实时攻击行為(wèi)检测

系统会通过无监督學(xué)习算法主动对API接口进行攻击學(xué)习，识别API扫描、试探等攻击风险，内置大量基于上下文(wén)的数据攻击风险规则，帮助用(yòng)户精(jīng)准定位数据泄露源头，整合风险事件类型。相对于传统安(ān)全中(zhōng)无上下文(wén)识别引擎的WAF，系统会去对数据行為(wèi)进行上下文(wén)分(fēn)析，发现有(yǒu)价值的数据泄露风险，减少误报。供关联风险的威胁IP画像与分(fēn)类；事件样例还原帮助客户进行溯源分(fēn)析应对攻击。爱加密API风险监测平台支持旁路镜像、Agent模式部署，并可(kě)同第三方平台的无缝对接，支持通过数据订阅、开放API的形式把系统中(zhōng)的资产(chǎn)、弱点、风险等信息同步到客户的第三方平台中(zhōng)。

爱加密致力于帮助企业发现、保护处于互联网暴露面上的API，并利用(yòng)机器學(xué)习、AI和大数据引擎来发现所有(yǒu)API及其暴露的数据，从而防范API攻击并从源头消除漏洞，帮助企业减少安(ān)全隐患，减少数据泄露事件，共同守护互联世界。

END

欢迎给我们留言或评论~

我们将持续发布技(jì )术解读、解决方案、行业报告

点击关注，不错过下次精(jīng)彩内容