基于情报的API数据安全防御体系 .pdfVIP

基于情报的API数据安全防御体系

永安在线邵付东

API承载数据流动和业务逻辑，成为新的攻防面

数据风险业务风险

业务数据泄漏账号安全：撞库、扫号、养号、盗刷

敏感数据泄漏营销安全：刷量、羊毛、黄牛、抢单

个人信息泄漏内容安全：广告引流、控评

用户loT业务系统

数据

员工WebAPI内部系统

合作伙伴App

开放平台

外包小程序

每一个API都可能成为攻击入口

用户黑产合作伙伴

互联网

外部应用系统KMS

•黑产：从外部系统的API爬取数据内部应用系统

•内鬼：从内部系统的API获取数据生产区

数据存储数据存储

应用系统数据存储

办公区

员工运维研发

开发测试区

API安全管理面临的挑战

资产未知攻击未知阻断未知

对外开放了哪些API？如何及时感知API被攻击了？攻击特征是什么？

涉及了哪些敏感数据？用的什么攻击方法？如何快速阻断减少损失？

存在哪些设计缺陷？

业务快速发展，API频繁的更迭攻击流量隐藏在正常的业务流量中

现有解决方案在API安全管理上存在不足

WAF

•不是所有的API流量会经过WAF，尤其是东西向流量

•根据每条流量及时做出判断，无法解决API逻辑攻击

API网关

•不是所有的API都会到网关注册，业务存在大量影子API

•授权和限频等方法无法解决海量小号、秒拨代理IP低频攻击

通过旁路流量分析，基于情报实现API安全管理

API上线

API资产梳理API风险发现API风险阻断

API服务持续动态的梳理业务API，