腾讯API安全公测重磅开启,你的API安全吗?

7亿多Linkedln用户的数据被在暗网售卖;Parler网站涉及1000万用户超过60T的数据泄漏;Clubhouse泄露130万条用户记录……近年来Web应用数据泄露案例层出不穷,究其根因,其实是——API不够安全。

所谓API,即应用程序接口(Application Programming Interface),可以应用于所有计算机平台和操作系统,以不同的格式连接数据、调用数据。比如,消费者可以在电商平台查询所购商品的物流信息,这实际就是电商平台与物流公司之间使用“API位置实时调用”产生的效果。

在千行百业数字化转型的背景下,API成为了数字化体验的中心,APP、WEB网站和小程序等应用的核心功能、微服务架构等均离不开API的支持。不过,许多企业追求快速的API和应用程序交付,却忽视了API安全保护。因此,针对API的攻击也成为了恶意攻击者的首选。

9月28日,腾讯安全正式启动API安全公测,联动腾讯Web应用防火墙、腾讯安全威胁情报、腾讯天御业务安全等能力,帮助企业全面识别API风险,针对性收敛API暴露面,构建全面、智能、精准的API安全防御体系。

API安全面临四大挑战

安全隐患往往藏于“未知”,API普遍应用于新业务、新场景、新环境之下,众多企业用户并不了解自己拥有多少API,就更别提保证每个API都具备良好的访问控制策略,未知的僵尸API、未知的影子API、未知的敏感数据暴露等比比皆是。

据Gartner权威研报预测,到2022年API滥用将是最常见的攻击方式;到2024年,API安全隐患导致的相关数据泄露将近乎翻倍。

目前来看,企业的API安全面临四大挑战,要求我们对API资产的全貌做清晰的盘点:

1、应用和逻辑迁移上云,暴露更多攻击面:相对于传统数据中心的单点调用,企业服务上云后,调用的来源和范围更广,东西向和南北向都可能成为API的攻击面。

2、强调开发速度和灵活性,忽略构建API安全:更多企业转向采取敏捷开发模式,但在提升软件构建效率的同时,企业对于如何构建API安全性缺少合适的方法,难以顾及API安全。

3、内部接口缺少维护,引发多种攻击隐患:开发应用时,可能会涉及大量的内部接口书写,由于人员变动、缺乏维护等原因被忽略,给攻击者留下突破口。

4、企业低估API风险,造成安全措施遗漏:构建应用的过程中,企业对于可能存在的安全风险较为乐观,防护措施不足,低估了上线后API被攻击的可能性。

图片

而 OWASP 也根据可利用性、弱点普遍性、弱点可观测性、技术影响、业务影响等维度梳理了十大最关键的 API 安全风险。从 OWASP API Security Top 10 我们也可以发现,如授权、身份认证、安全配置等风险,均是由于我们在设计到上线过程中没有针对暴露面做好及时的收敛,因此意外造成的数据泄露、API滥用、权限外泄等事件也难以遏止。

图片

腾讯API安全产品

聚焦API防御体系打造

腾讯API安全聚焦API防御体系打造,以异常暴露面管理为首个突破重点,助力企业全面清点API资产、智能发现API动态变化及风险趋势、精准识别API暴露面及敏感数据,帮助企业收敛API暴露风险。

腾讯API安全识别异常暴露面的解决思路主要分成如下三个步骤:

1、摸清家底:通过流量分析,自动化清点API接口,动态盘点业务API调用关系,将僵尸API、影子API、涉敏API一网打尽。

2、洞悉风险:结合腾讯安全能力沉淀,洞悉业务流量中可能存在的风险问题,快速识别当前API业务场景,了解业务的风险趋势及可能存在的漏洞威胁。

3、合规运营:持续识别 API参数暴露面,对各类敏感的参数信息、后台参数等进行持续检测,包括但不限于银行卡号、身份证号等信息,防止敏感信息泄露。

而异常暴露面发现的基石就是API的资产发现和流量分析能力,腾讯API安全解决方案具备如下五大优势,可以对API风险进行发现及管控:

01: 零部署,即开即用

针对已接入WAF的域名,一键即可开启API安全管控能力。

02: 资产全自动发现

实时分析业务访问日志,自动发现API资产并动态梳理资产用途、变化。

03: API业务场景识别

快速梳理发现敏感暴露面,如文件上传、业务回调接口、优惠券分发、短信验证码发送等场景,便于及时治理。

04: API流量分析

精准识别API请求方式、访问场景、敏感参数信息等,可视化分析API风险概览、请求趋势、攻击趋势,提供针对性防护策略。

05: 联动腾讯天御、威胁情报能力

内置腾讯天御业务安全能力、腾讯安全威胁情报能力,全面识别API资产的网络安全风险及业务安全风险,提供联动防护。

快速参与公测

可扫描下方二维码,申请免费体验或直通产品经理交流

图片