API安全建設(shè)白皮書

2前言 31.API是什么 31.1.API的定義 31.2.API的類型 41.3.小結(jié) 52.API的安全挑戰(zhàn) 52.1.API防護缺失已成業(yè)務(wù)和數(shù)據(jù)安全最大風(fēng)險敞口 62.2.API面臨的主要安全問題 62.2.1.API資產(chǎn)不可見 62.2.2.攻擊面增加 72.2.3.API攻擊更加隱蔽 82.2.4.監(jiān)管合規(guī)性挑戰(zhàn) 92.3.小結(jié) 103.API全生命周期安全防護 103.1.API安全設(shè)計的指導(dǎo)原則 11A原則 113.1.2.縱深防御原則 123.2.API生命周期的安全防護模型 133.2.1.設(shè)計階段：引入威脅建模 143.2.2.開發(fā)階段：安全開發(fā)意識和規(guī)范培訓(xùn)，引入安全工具 153.2.3.測試階段：漏洞加入測試流程，使用AST類工具提高覆蓋率 163.2.4.上線運行階段：借助網(wǎng)關(guān)、WAF和流量審計工具提早感知攻擊面 173.2.5.迭代階段：利用安全工具及時審計API變更 213.2.6.下線階段：及時下線僵尸影子API 213.3.小結(jié) 22結(jié)束語 223在云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能、5G等新興技術(shù)的推動下，伴隨著近些年的疫情API爆炸式增長。企業(yè)通過API的能力將數(shù)據(jù)資源整合，提供給到用戶、合作伙伴、內(nèi)部員工2022年國家級攻防演練新增了對于數(shù)據(jù)泄漏的攻防點，說明數(shù)據(jù)的安全保護逐步從監(jiān)管難度已經(jīng)非常大了，但近些年因API安全問題導(dǎo)致的數(shù)據(jù)泄漏事件卻頻頻發(fā)生，可以看到APIAPI(ApplicationProgrammingInterface,應(yīng)用程序接口)是一種計算接口，定義了軟接口，擴展到互聯(lián)網(wǎng)上對外提供服務(wù)的接口。調(diào)用者通過調(diào)用API,可以4目前我們討論的API更多是指WebAPI,不同于由操作系統(tǒng)或庫公開給在同一臺機器上運行的應(yīng)用程序的API。WebAPI是一種編程接口，由一個或多個公開暴露的端點組成，指向已定義的請求-響應(yīng)消息系統(tǒng)，通常以JSON或XML表示。交易系統(tǒng)交易系統(tǒng)用戶畫像開源組件銀行卡小程序OA系統(tǒng)攻擊者用戶WebAPI被定義為基于HTTP,今天看到的四種主要類型的WebAPI:RESTfulAPI:可以追溯到RoyFielding在2000年的博士論文，代表性狀態(tài)傳輸是最常見的WebAPI類型，通常使用JSON(JavaScript對象表示法)來處理數(shù)據(jù)。RESTfulAPI很容易被現(xiàn)代前端框架(例如，React和ReactNative)使用，并促進Web和移動應(yīng)用程序的開發(fā)。它們成為任何WebAPI的事實上的標(biāo)準(zhǔn)，包括用于B2B的那些，是目前的主流應(yīng)用風(fēng)格。SOAPAPI:SOAP使用詳細的擴展標(biāo)記語言(XML)進行遠程過程調(diào)用(RPC)。目前使用比較少，在一些老舊的系統(tǒng)能還能看到。GraphQLAPI:Facebook開發(fā)的新GraphQL標(biāo)準(zhǔn)通過單個POST端點(通常是/graphql)提供數(shù)據(jù)庫訪問，多用于具有圖結(jié)構(gòu)的數(shù)據(jù)場景，實際應(yīng)用目前比較少見。gRPCAPI:一種新的、Google開發(fā)的基于HTTP/2.0的高性能二進制協(xié)議，主要用于一些海量用戶的高并發(fā)請求的場景。5指出“API請求已占所有應(yīng)用請求的83%,預(yù)計2024年API請求命中數(shù)將達到42萬億次”。2.1.API防護缺失已成業(yè)務(wù)和數(shù)據(jù)安全最大風(fēng)險敞口安全的API造成的。據(jù)Gartner提供的數(shù)據(jù)顯示，到2025年，由于API的爆炸式增長超過了API管理工具的能力，將有50%的企業(yè)出現(xiàn)API安全防護缺位，并且有90%的企業(yè)僅能為其公開發(fā)布的API進行保護，而其它API則不受監(jiān)控，并且大部分企業(yè)缺乏API安全的實踐經(jīng)驗。媒介，甚至在2024年API安全問題引起的數(shù)據(jù)泄露風(fēng)險將翻倍。事件主體事件經(jīng)過Facebook第三方應(yīng)用通過API獲取5千萬用戶數(shù)據(jù)，并用以政治廣告投放Linkedin因為API濫用導(dǎo)致泄漏7億用戶的姓名、郵件、手機號碼、行業(yè)等信息微博通訊錄匹配查詢API被撞庫，導(dǎo)致5億用戶信息泄漏美國郵政UPS因API認證漏洞導(dǎo)致6000萬用戶信息泄漏淘寶兩個API的邏輯漏洞導(dǎo)致11億的用戶購物信息泄漏攻防演練企業(yè)OA系統(tǒng)任意用戶登錄漏洞、ajax.do文件上傳漏洞、任意文件上傳漏洞導(dǎo)致靶標(biāo)系統(tǒng)被攻破等API是數(shù)據(jù)交互最重要的傳輸方式之一，也因此成為攻擊者竊取數(shù)據(jù)的重點攻擊對象。與此同時，由于API防護的缺失，企業(yè)對外暴露了哪些API、對誰開放API、API通信中哪些敏2.2.API面臨的主要安全問題72.2.2.攻擊面增加攻擊面說明認證授權(quán)存在漏洞引入攻擊面●某些API在設(shè)計之初對身份認證的設(shè)計存在不足或者缺失，導(dǎo)致攻擊者可以進行未授權(quán)或者越權(quán)攻擊，可以通過API任意訪問訪問數(shù)據(jù)●權(quán)限設(shè)計不合理，致使用戶A可以訪問到屬于同一角色的用戶B的數(shù)據(jù)，出現(xiàn)水平越權(quán)訪問的攻擊；或者普通權(quán)限A用戶可以操作管理員B用戶的功能，出現(xiàn)垂直越權(quán)的攻擊●密碼安全性校驗不足，攻擊者可利用弱密碼發(fā)起攻擊，進行賬號的破解輸入?yún)?shù)校驗不嚴(yán)引入攻擊面在API設(shè)計和迭代的過程中，研發(fā)人員對API的入?yún)⑷鄙傩ｒ灮蛘咝ｒ灢粐?yán)格，可能會被攻擊者利用構(gòu)造的輸入來進行注入類攻擊如SQL、XSS、SSRF或者利用參數(shù)遍歷與用戶身份進行組合帶來越權(quán)類攻擊設(shè)計不合理引入攻擊面數(shù)據(jù)權(quán)限，某些API在設(shè)計時為兼容多個功能會將過多的數(shù)據(jù)雜糅到一起返回至前端，或者將脫敏和明文數(shù)據(jù)一起返回，然后由前端去篩選相關(guān)的數(shù)據(jù)。這導(dǎo)致API返回過多的數(shù)據(jù)，攻擊者可通過流量攔截等手段獲取API原始返回的數(shù)據(jù)，從而存在數(shù)據(jù)泄漏的隱患8●對于登錄場景類，API在出錯提示時對錯誤信息展示的過于詳細，攻擊者可以利用提示信息來進行撞庫掃號攻擊●API未對傳輸數(shù)據(jù)進行加密設(shè)計而直接進行明文傳輸，攻擊者可通過網(wǎng)絡(luò)嗅探等手段直接獲取API的交互格式以及數(shù)據(jù)，通過對獲取的數(shù)據(jù)進行分析，并進行下一步的攻擊●API設(shè)計時沒有考慮到重放邏輯、頻率限制、事務(wù)完整性邏輯等業(yè)務(wù)側(cè)邏輯的問題，導(dǎo)致攻擊者可以通過重放、修改參數(shù)等方式來完成金額修改，篡改交易的攻擊●代碼實現(xiàn)上存在邏輯bug,導(dǎo)致攻擊者可利用bug來進行攻擊安全配置缺陷引入攻擊面●允許web服務(wù)器任意目錄瀏覽、未關(guān)閉HTTP標(biāo)頭配置、沒有打開一些認證授權(quán)配置開關(guān)未修改業(yè)務(wù)系統(tǒng)的缺省口令，導(dǎo)致攻擊者可使用缺省的口令來進行登錄將內(nèi)部系統(tǒng)部署在公網(wǎng)使用易受攻擊和過時的組件引入的攻擊面開發(fā)過程中引入開源或第三方插件、模塊、框架等，引用的第三方的軟件或模塊存在安全問題時，勢必會導(dǎo)致代碼中的漏洞、惡意代碼、“后門"等安全隱患被引入至API接口中使用的開源或第三方組件的版本過低，存在漏洞可以被攻擊2.2.3.API攻擊更加隱蔽API是需要開放給用戶來使用的，具備開放性和承載業(yè)務(wù)邏輯的特點，攻擊者可以和正常9帶來CC攻擊。●大量數(shù)據(jù)下載行為：API接口未對用戶某個時段內(nèi)的下載次數(shù)、下載內(nèi)容大小等做限制，導(dǎo)致攻擊者可以通過多次下載達到獲取大量數(shù)據(jù)的目的，容易造成大量敏感數(shù)據(jù)泄漏?！窬W(wǎng)絡(luò)爬蟲行為：API接口的開放性，如果沒有設(shè)置反爬蟲安全策略，則攻擊者可以使用代理IP或修改User-Agent請求頭隱匿身份，通過信息收集獲取企業(yè)內(nèi)部系統(tǒng)賬號，利用網(wǎng)絡(luò)爬蟲爬取賬號權(quán)限以及開放在公網(wǎng)上所有的API接口數(shù)據(jù)，導(dǎo)致大量數(shù)據(jù)泄漏。●動態(tài)代理IP低頻爬蟲行為：如果API有頻率限制和反爬策略，攻擊者會還會利用大量的動態(tài)代理IP,低頻慢速的方式來繞過現(xiàn)有的防御措施，遍歷爬取數(shù)據(jù)、進行惡意注冊或者營銷作弊?！窠涌跒E用：如果API沒有對使用者的身份進行校驗，缺少白名單檢查、缺失驗證碼進行人機校驗的邏輯，攻擊者會利用企業(yè)的API可以任意跳轉(zhuǎn)URL、任意短信發(fā)送等功能來完成攻擊，消耗企業(yè)的短信費用，給企業(yè)帶來負面的社會影響。2.2.4.監(jiān)管合規(guī)性挑戰(zhàn)近幾年，隨著國家層面網(wǎng)絡(luò)空間治理的不斷深入，滿足合規(guī)性要求成為每一個企業(yè)正常業(yè)務(wù)開展的必要條件。自2016年以來，我國陸續(xù)出臺了一系列的法律法規(guī)來監(jiān)管數(shù)據(jù)的安全問題，從2017年6月《網(wǎng)絡(luò)安全法》的落地實施，再到被稱為“數(shù)據(jù)安全元年”的2021年。在2021年，《數(shù)據(jù)安全法》《個人信息保護法》等法律法規(guī)陸續(xù)正式實施，國家網(wǎng)信辦發(fā)布《數(shù)據(jù)出境安全評估辦法(征求意見稿)》并公開征求意見。從這一系列法律法規(guī)中可以看出，我國對企業(yè)的數(shù)字安全監(jiān)管確實在走向更加嚴(yán)格和規(guī)范化，聚焦的內(nèi)容更加細化，處罰的力度也逐漸加強。對企業(yè)而言，圍繞數(shù)據(jù)的全生命周期從數(shù)據(jù)采集、存儲、訪問、使用、銷毀構(gòu)建數(shù)據(jù)安全的體系成為重點的安全建設(shè)工作。目前，大多數(shù)企業(yè)在數(shù)據(jù)采集、存儲、數(shù)據(jù)庫訪問方面做了比較全面的安全建設(shè)，在數(shù)據(jù)的流動訪問方面的安全建設(shè)的意識也正逐步萌芽和發(fā)展；而API作為連接數(shù)據(jù)與應(yīng)用的主要通道，成為了數(shù)據(jù)傳輸中最薄弱的環(huán)節(jié)之一，傳統(tǒng)的WAF、IPS類安全設(shè)備關(guān)注點不在數(shù)據(jù)安全，API這個點目前的安全防護比較薄弱，所以API很容易成為攻擊者眼中竊取數(shù)據(jù)的頭號目標(biāo)。金融行業(yè)標(biāo)準(zhǔn)JR/T0185-2020《商業(yè)銀行應(yīng)用程序接口安全管理規(guī)范》中，更是從API類型與安全設(shè)計、開發(fā)、部署、集成、運維等生命周期角度，對API的管理提出多方面的合規(guī)性要求。這些標(biāo)準(zhǔn)或規(guī)范為企業(yè)的API安全實踐提供方向性指引，同時也為API的合規(guī)提供可落地標(biāo)準(zhǔn)。企業(yè)完成了此類合規(guī)的挑戰(zhàn)，才能更好地開展業(yè)務(wù)。下圖所示為這幾年來的數(shù)據(jù)相關(guān)法規(guī)的處罰細化說明：重要數(shù)據(jù)罰款高達100萬元重要數(shù)據(jù)罰款高達1000萬元最高罰款5000萬元或前一年營業(yè)額的5%2017年6月2021年9月2021年11月從攻擊視角來看，當(dāng)越來越多的企業(yè)通過API對外開放業(yè)務(wù)能力，意圖共建生態(tài)時，賬號、營銷、數(shù)據(jù)方面的安全漏洞可以被攻擊者直接快速獲利，而且當(dāng)前企業(yè)在這塊的安全防護意識才剛剛開始萌芽，這種新型的攻擊面充滿誘惑。攻擊者的動機越強、攻擊手段越多、造成的危害越強，給企業(yè)的防御帶來的挑戰(zhàn)就會越大。3.API全生命周期安全防護由于云計算的快速發(fā)展，越來越多的企業(yè)將應(yīng)用和數(shù)據(jù)遷移至云端，并暴露核心業(yè)務(wù)能力和流程相關(guān)的API為外部合作伙伴提供服務(wù)。脫離了傳統(tǒng)的內(nèi)網(wǎng)或網(wǎng)絡(luò)區(qū)域劃分，云上應(yīng)用的開發(fā)和集成、云端管理API,被潛在的商業(yè)合作伙伴及攻擊者使用，無形中使得API安全風(fēng)險增大。對大多數(shù)企業(yè)而言，很難完全掌握系統(tǒng)全部API;開發(fā)人員往往也只是熟悉自己開發(fā)的相3.1.API安全設(shè)計的指導(dǎo)原則PI作為業(yè)務(wù)系統(tǒng)新的邊界，從設(shè)計的角度來保障好API這個新的邊界，有兩個基本的原則可 寫，其含義是當(dāng)安全設(shè)計人員在做安全設(shè)計時，需要從這5個方面考量安全設(shè)計的合理性。如令牌、用戶名/密碼+人臉識別、人臉識別+短信挑戰(zhàn)碼等。認證通常融入單點登錄SSO系來說，誰在請求我，這個請求是有權(quán)限的么?某些API只有特定的角色才可以訪問，比如●訪問控制，解決“你所訪問具體的數(shù)據(jù)和功能是否被允許”的問題，通常發(fā)生在授權(quán)之后，很多情況下，對于某個角色的權(quán)限設(shè)置正確，但訪問控制做的不一定正確，這也是存在很多越權(quán)操作的原因。訪問控制是對授權(quán)后的客戶端訪問時的正確性驗證。某個角色，對于不具備訪問權(quán)限的API卻可以直接調(diào)用，問題就出在訪問控制上。授權(quán)和訪問控制常常是一起來進行的，有兩種方式可以參考：一是基于使用者身份代理的授權(quán)與訪問控制，典型的以0Auth2.0協(xié)議為代表，對于API的授權(quán)和可訪問資源的控制依賴于使用者的身份，使用者可能是某個自然人用戶，也可能是某個客戶端應(yīng)用程序，當(dāng)?shù)玫绞褂谜叩氖跈?quán)許可后，即可訪問該使用者授權(quán)的資源；另一類是基于使用者角色的授權(quán)與訪問控制，典型的以RBAC模型為代表，對于API的授權(quán)和資源訪問依賴于使用者在系統(tǒng)中被授予的角色和分配的權(quán)限，不同的角色擁有不同的權(quán)限，比如功能權(quán)限、數(shù)據(jù)權(quán)限，訪問資源時依據(jù)此角色分配的權(quán)限的不同可以訪問不同的資源?！窨蓪徲嬓?，解決“你所做的操作能夠被溯源”的問題，目的是為了記錄API調(diào)用時的關(guān)鍵信息，以便事后能夠通過審計手段及時發(fā)現(xiàn)問題，并在發(fā)生問題時通過審計日志進行溯源，找出問題的發(fā)生點。一般記錄API日志需要有：什么人(賬號、UA信息)、在什么時間、利用什么IP(在什么地方)、調(diào)用了什么API(做了什么)、操作的結(jié)果是什么、操作API時的Referer是什么等?！褓Y產(chǎn)保護，解決“阻止API被濫用”的問題，主要是指對API接口自身的保護，比如限速、限流，防止惡意調(diào)用，以及對API接口傳輸?shù)拿舾袛?shù)據(jù)如身份證、手機號碼、銀行卡號等的保護。3.1.2.縱深防御原則縱深防御這個詞來源于軍事術(shù)語，是指在前方到后方之間，構(gòu)建多道防線，達到整體防御的目的。在網(wǎng)絡(luò)安全領(lǐng)域，縱深防御通常是指不能只依賴單一安全機制，建立多種安全機制，互相支撐以達到相對安全的目的?？梢酝ㄟ^一個生活中的例子來理解縱深防御原則的基本含義，比如坐飛機的這個過程中，機場采用了如下這些防線：第一道防線是入口的防爆檢查，可快速的檢查乘客是否攜帶了防爆物；第二道防線是安全檢查，檢查是否攜帶了一些違禁品；第三道防線是上機前身份校驗，確保人票一致性。這三層的防御就構(gòu)成了縱深防御，確保是購買了機票的人在安全的情況下乘機。的場景如網(wǎng)銀的轉(zhuǎn)賬業(yè)務(wù)，進入系統(tǒng)時需要進行登錄進行身份認證，在后面的調(diào)用轉(zhuǎn)賬API5A原則重點強調(diào)每一層安全架構(gòu)設(shè)計的合理性，強調(diào)的是寬度；縱深防御是對同一問題HTTPS8HTTPS脫敏&加密授權(quán)&訪問控制脫敏&加密授權(quán)&訪問控制HTTPS3.2.API生命周期的安全防護模型風(fēng)險等。接入WAF可以解決部分命令執(zhí)行/SQL注入類問題，但目前市場上的WAF產(chǎn)品因API針對API存在威脅防護，使用WAF類產(chǎn)品只能覆蓋其中的一小部API安全API變更監(jiān)控迭代3.2.1.設(shè)計階段：引入威脅建模API進行威脅建模，線上的API風(fēng)險將會大大減少。資源有限的情況下，建設(shè)自動化威脅建模絕服務(wù)和特權(quán)提升)和攻擊樹模型作為常用的威脅建模技術(shù)指導(dǎo)原則。結(jié)合業(yè)界安全白皮書、歷史上安全事件總結(jié)，根據(jù)業(yè)務(wù)API的需求和功能設(shè)計，基于上述5A的原則整理出來潛在攻對于API而言，攻擊者通?？赡軙校簮阂鈨?nèi)部員工、外部攻擊者，競爭對手、好奇者等，攻擊路徑可能是下班后通過內(nèi)部系統(tǒng)API盜取數(shù)據(jù)、利用API的邏輯漏洞批量爬取數(shù)據(jù)、發(fā)起B(yǎng)OT攻擊、借助手機號接碼平臺發(fā)起惡意注冊、利用代理秒撥平臺發(fā)起低頻慢速的攻擊等。下面列表的一些安全檢查表和最佳實踐可以作為威脅建模階段的一些參考：比較理想的情況，同研發(fā)在設(shè)計階段就威脅建模進行了討論，大家對于API可能遇到的安全問題點都有了全面且清晰的理解；然而，在研發(fā)進行編碼實現(xiàn)的環(huán)節(jié)，往往可能在實現(xiàn)上出現(xiàn)不完整，或者引入新的bug。同時考慮到研發(fā)人員也在不斷的變化，需要安全工程師提供API安全開發(fā)規(guī)范、安全開發(fā)插件、安全輔助包、敏感數(shù)據(jù)加解密工具等輔助性安全開發(fā)工具。一方面通過培訓(xùn)的方式加強全員對安全開發(fā)的意識和能力，一方面需要借助工具的方式來實現(xiàn)自動化的檢查，提早發(fā)現(xiàn)bug和漏洞。在API安全開發(fā)培訓(xùn)方面，可以從四個方面來考慮：●API安全管理框架和關(guān)鍵指標(biāo)，企業(yè)在API安全這塊整體的框架，定型和定量的指標(biāo)，如上線后的漏洞數(shù)量等?！癯Ｒ夾PI安全問題，如OWASPAPITop10,以及安全運營通過SRC以及業(yè)務(wù)中提煉出來的一些具有代表性的問題。通過問題案例的方式，更加能讓大家理解和學(xué)習(xí)?！癯Ｒ夾PI安全技術(shù)與安全設(shè)計，整理收集業(yè)界和企業(yè)自身的一些優(yōu)秀安全實踐案例，能開拓研發(fā)的思維，在遇到類似問題時能想到更好的解決方法?！馎PI安全編碼案例，結(jié)合業(yè)界的優(yōu)秀案例，基于企業(yè)自身的特點制定出來符合企業(yè)特色的安全編碼的規(guī)范和案例。下面列表的一些安全編碼和開發(fā)規(guī)范，可以借鑒和參考：/www-project-secure-coding-practiceOWASP安全編碼實踐s-quick-reference-guide/migratedcontent/Tencent/secguide永安在線API安全開發(fā)規(guī)范https://www.yazx,com/reportDetail/14ac36b8-f5c6-11ec-af75-00163e048a4c在自動化工具方面，可以考慮如下幾個方面的工具：●引入代碼白盒代碼掃描工具，嵌入到CI/CD或者研發(fā)流程中，發(fā)布到測試環(huán)境時就進行掃描。●引入API管理工具，對API的文檔進行集中統(tǒng)一的管理，能夠監(jiān)控到API的變更迭代的過程數(shù)據(jù)?！褚階PI安全驗證相關(guān)的工具，驗證API安全實現(xiàn)的正確性，以保障驗證工作盡可能做到全面，相關(guān)工具如FuzzDB、個人數(shù)據(jù)隱私監(jiān)測類工具。3.2.3.測試階段：漏洞加入測試流程，使用AST類工具提高覆蓋率在測試環(huán)節(jié)加入API安全相關(guān)的內(nèi)容，針對自動化測試流程和人工測試，在API業(yè)務(wù)邏輯實現(xiàn)、穩(wěn)定性、性能測試的基礎(chǔ)上增加API安全的測試。落實API安全測試的目的是為了自動化掃描每一個API,自動化API安全測試從請求輸入與應(yīng)答響應(yīng)兩部分去分析API是否存在漏洞。API安全測試的常規(guī)內(nèi)容主要包含API身份驗證、授權(quán)、輸入驗證、異常處理、數(shù)據(jù)保護、安全傳輸以及HTTPHeader安全性等。API數(shù)量多，且在不斷的迭代更新，需要借助自動化工具來輔助進行安全測試。常用的工具有以下三類：SAST、DAST、IAST工具，在測試階段提前發(fā)現(xiàn)研發(fā)的安全漏洞。根據(jù)業(yè)務(wù)的特點，和供應(yīng)商一起優(yōu)化IAST工具，保障覆蓋率的情況下，提高準(zhǔn)確率，能提前發(fā)現(xiàn)許多輸入處理不當(dāng)導(dǎo)致的漏洞。●靜態(tài)安全檢測(StaticApplicationSecurityTesting,SAST),其特點是分析應(yīng)用程序的源代碼或二進制文件，通過語法、結(jié)構(gòu)、過程、接口等來發(fā)現(xiàn)應(yīng)用程序的代碼是否存在漏洞。和SAST結(jié)合的一種安全檢測技術(shù)，通常會在應(yīng)用程序中添加探針或I網(wǎng)關(guān)的接口，發(fā)布前準(zhǔn)備好API導(dǎo)入數(shù)據(jù)供CI/CD調(diào)用。這會增加開發(fā)人員涉及資金的、涉及核心基礎(chǔ)設(shè)施操作等；持續(xù)理帶來的漏洞；發(fā)現(xiàn)僵尸API、影子API,老版本、功能重復(fù)的API.基于P2DR模型的自適應(yīng)安全閉環(huán)API發(fā)現(xiàn)能力是API提供者和攻擊者之間的競賽，要在攻擊者之前發(fā)現(xiàn)API,提前感知和至關(guān)重要?？梢酝ㄟ^API安全網(wǎng)關(guān)、負載平衡或交換機鏡像的網(wǎng)絡(luò)流量中提取出來API、API●API可以根據(jù)業(yè)務(wù)場景，如登錄、文件上傳、文件下載、第三方開源組件等進行分級分類；也可以根據(jù)返回的數(shù)據(jù)敏感度的情況來進行分級分類?！窳鲃拥臄?shù)據(jù)，可以根據(jù)國家的監(jiān)管法規(guī)規(guī)范來進行分級分類，同時建立數(shù)據(jù)到API的映射關(guān)系，這樣可以從容應(yīng)對法規(guī)和監(jiān)管的治理需要?！褓~號資產(chǎn)，可以根據(jù)權(quán)限級別、訪問系統(tǒng)、活躍性等來進行分級分類?！馡P資產(chǎn)，可以根據(jù)地域、類型、安全性等來進行分級分類。API的資產(chǎn)發(fā)現(xiàn)要全面，從API的應(yīng)用場景的角度，圍繞終端用戶、合作企業(yè)、內(nèi)部員工、以及開源組件和中間件四個場景能比較全面的覆蓋API資產(chǎn)，借助負載均衡或者核心交換機的的流量來梳理API能夠?qū)崿F(xiàn)對上述四個場景比較全面的覆蓋。面向終端用戶面向合作企業(yè)面向內(nèi)部員工面向開源組件和中間件在互聯(lián)網(wǎng)上給到用戶使用的APP、Web、小程序等用到的API在互聯(lián)網(wǎng)上開放給到合作企業(yè)客戶使用的業(yè)務(wù)API開放給到內(nèi)部員工或者合作伙伴使用的應(yīng)用系統(tǒng)上關(guān)聯(lián)到的API使用到的clickhouse、springboot、k8s、hadoop、jenkins等涉及到的API二是持續(xù)的風(fēng)險監(jiān)測能力API安全的風(fēng)險監(jiān)測包括了API自身的漏洞風(fēng)險，也包括了攻擊者對API進行攻擊的風(fēng)險、賬號的違規(guī)操作行為風(fēng)險、IP的異常行為風(fēng)險等。需要持續(xù)針對資產(chǎn)的漏洞風(fēng)險、攻擊行為和異常行為風(fēng)險進行檢測，在保障召回率的前提下，提高準(zhǔn)確率。漏洞風(fēng)險的檢測，有如下幾個方面：●自身業(yè)務(wù)漏洞檢測，需要持續(xù)監(jiān)測API存在的授權(quán)、認證、數(shù)據(jù)過度暴露、配置、邏輯設(shè)計等方面的缺陷；以及關(guān)聯(lián)賬號的弱密碼這類風(fēng)險的監(jiān)測?！竦谌浇M件漏洞檢測，企業(yè)引入的第三方開源組件或者中間件同樣也會存在漏洞，需要持續(xù)對供應(yīng)鏈上的API進行漏洞的監(jiān)測。攻擊行為和異常行為的檢測，有如下幾個方面：●API攻擊威脅檢測，攻擊者利用API的邏輯漏洞來實現(xiàn)數(shù)據(jù)爬取、賬號注冊、爆破、撞庫、20短信轟炸、任意網(wǎng)址跳轉(zhuǎn)、事務(wù)攻擊等惡意的攻擊行為，在API運行時加強外部風(fēng)險感知能力和風(fēng)險阻斷能力的建設(shè)尤為重要，這樣才能夠及時準(zhǔn)確地感知到API的任何濫用情況，并及時阻斷攻擊者的進一步行動。基于風(fēng)險情報來監(jiān)測攻擊行為，在召回率和準(zhǔn)確率上都會有比較好的表現(xiàn)。賬號違規(guī)操作行為檢測，攻擊者可以利用內(nèi)鬼來盜取敏感數(shù)據(jù)，也可以借助撞庫、賬號暴力破解、社工釣魚等方式獲得敏感的賬號，進而利用授權(quán)賬號進行違規(guī)的操作。賬號違規(guī)操作行為的檢測，需圍繞賬號的歷史行為以及賬號和同組織的人在登錄環(huán)境、登錄IP、獲取數(shù)據(jù)的時間、訪問站點和數(shù)據(jù)的情況等行為方面構(gòu)建基線，基于UEBA的模型來監(jiān)測賬號違規(guī)操作的行為。IP異常行為檢測，攻擊者的攻擊都需要通過IP資源來完成，針對IP構(gòu)建歷史行為畫像如數(shù)據(jù)訪問、地理位置、API訪問序列、風(fēng)險情報畫像等，基于機器學(xué)習(xí)的方法檢測IP的異常行為，如路徑掃描、漏洞掃描、單一API請求過多、境外IP獲取敏感數(shù)據(jù)等異常行為?；贗P風(fēng)險情報來構(gòu)建的檢測模型，準(zhǔn)確率高，可解釋性強。三是持續(xù)構(gòu)建防護