基于情报的API数据安全防御体系 .docxVIP

基于情报的API数据安全防御体系

永安在线邵付东

API承载数据流动和业务逻辑，成为新的攻防面

数据风险业务风险业务数据泄漏账号安全：撞库、扫号、养号、盗刷

敏感数据泄漏 营销安全：刷量、羊毛、黄牛、抢单

个人信息泄漏 内容安全：广告引流、控评

用户 loT

员工 Web

合作伙伴 App

外包 小程序

业务系统

API 内部系统 数据

开放平台

每一个API都可能成为攻击入口

互联网 用户 黑产 合作伙伴

外部应用系统 KMS

?黑产：从外部系统的API爬取数据 内部应用系统?内鬼：从内部系统的API获取数据生产区

数据存储 数据存储

应用系统 数据存储

办公区

员工 运维 研发 开发测试区

API安全管理面临的挑战

资产未知

对外开放了哪些API？涉及了哪些敏感数据？

存在哪些设计缺陷？

攻击未知

如何及时感知API被攻击了？

用的什么攻击方法？

阻断未知

攻击特征是什么？

如何快速阻断减少损失？

业务快速发展，API频繁的更迭 攻击流量隐藏在正常的业务流量中

现有解决方案在API安全管理上存在不足

WAF

? 不是所有的API流量会经过WAF，尤其是东西

? 根据每条流量及时做出判断，无法解决API逻辑

API网关

? 不是所有的API都会到网关注册，业务存在大量

? 授权和限频等方法无法解决海量小号、秒拨代

通过旁路流量分析，基于情报实现API安全管理

上

PI资产梳理

态的梳理业务API，

敏数据流动

API风险发现

及时精准的感知API所面

临的风险

API风险阻断

联动WAF、风控系统及

早阻断黑产攻击

废

挖掘黑产攻击链路情报，提高攻防对抗主动权

什么人，在什么社区，使用什么资源，通过什么手法攻击，获得什么回报？

整体技术架构图

API动态梳理 API缺陷评估 API风险感知 账号风险感知 IOC阻断功能层

API提取 涉敏管理 API整理 影子API分析 缺陷检测 风险发现 风险预警 IOC提取 …

模型层 API动态发现模型 API缺陷评估模型 API风险发现模型 账号风险发现模型

风险IP数据层 网络镜像流量 情报

黑产工具风险画像数据泄露情报情报情报

情报

基于图模型技术实现API资产动态梳理

旁路流量 流量清洗解析 图聚类模型 涉敏检测模型 API资产输出

1 41

orgs 2 tms 45

3 73......

通过旁路接入流量

从流量还原请求日志

静态资源、异常流量

清洗，计算有效API

API规约提取路径参数归纳

出度聚类：orgs/*/tms/*

通过正则匹配与NLP技

术精准识别涉敏数据

API /orgs/*/tms/*方法GET、DELETE

输入 「param1、parma2」

数据 手机号、身份证

API资产可视化示例

持续清点全量API接口，及时处理影子API和僵尸API，减少攻击面

识别暴露敏感数据的API，全面掌握数据出入情况，缩减数据暴露面

及早发现有设计缺陷的API，提前处置安全隐患

API详情示例

通过API的请求方法、调用终端等基础信息，更全面的掌握API细节和异常波动

基于API的敏感数据梳理，了解数据流动情况，防范数据泄漏风险

感知API的运行状态和设计缺陷，下线影子和僵尸API，修复缺陷API，提前防范安全隐患

API缺陷评估示例

基于业务流量分析，持续感知API的缺陷状态，缩短缺陷发现时间

通过缺陷样例详情，安全和研发能高效沟通，提高缺陷修复的效率

全面了解API缺陷变更历史和概况，沉淀经验样例，指导研发编码安全

API流动数据资产可视化示例

对敏感数据进行分类分级统计，全面掌握数据流动的概况

通过关联敏感数据和API，提高数据合规审查的效率

快速了解敏感数据涉及到有缺陷和被攻击API，提早规避大面积数据泄露风险

基于情报构建API行为基线，发现未知的安全风险

画像行为API行为异常异常

账号行为特征波动异常异常