摘? 要

根據(jù)當(dāng)前API技術(shù)發(fā)展的趨勢(shì)，從實(shí)際應(yīng)用中發(fā)生的安全事件出發(fā)，分析并討論相關(guān)API安全運(yùn)營(yíng)問(wèn)題。從風(fēng)險(xiǎn)角度闡述了API接口安全存在的問(wèn)題，探討了API檢測(cè)技術(shù)在安全運(yùn)營(yíng)中起到的作用，同時(shí)針對(duì)API安全運(yùn)營(yíng)實(shí)踐，提出了幾個(gè)方面的設(shè)想以及能夠帶來(lái)的運(yùn)營(yíng)價(jià)值。

?0 1? ?

?背 景

近年來(lái)數(shù)據(jù)的價(jià)值逐漸凸顯，數(shù)據(jù)應(yīng)用場(chǎng)景不斷拓展，數(shù)據(jù)交易持續(xù)增加。參與交易流通的數(shù)據(jù)類型從金融數(shù)據(jù)逐步擴(kuò)展到醫(yī)療、交通、工業(yè)等多種類型的數(shù)據(jù)，數(shù)據(jù)需求方涉及公共服務(wù)、影視娛樂(lè)、交通、醫(yī)療、金融、廣告營(yíng)銷等眾多領(lǐng)域。然而，隨著數(shù)據(jù)的集中匯聚及開放，數(shù)據(jù)共享面臨著新的安全風(fēng)險(xiǎn)。相比傳統(tǒng)的數(shù)據(jù)庫(kù)層數(shù)據(jù)共享技術(shù)，當(dāng)前大量數(shù)據(jù)通過(guò)各類API傳輸，傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)體系已經(jīng)難以滿足當(dāng)前的數(shù)據(jù)安全保護(hù)需求，而針對(duì)API的安全防護(hù)和運(yùn)營(yíng)也引起了人們的高度關(guān)注。

?0 2? ?

API及其安全風(fēng)險(xiǎn)

2.1 API概述

在應(yīng)用編程實(shí)踐中，由于系統(tǒng)的復(fù)雜性，在設(shè)計(jì)階段就將其劃為較小的部分，不同部分之間的規(guī)范約定就是應(yīng)用程序接口（Application Programming Interface，API）（官方api接口接入方式）。良好的接口設(shè)計(jì)可以降低系統(tǒng)各部分的相互依賴，提高組成單元的內(nèi)聚性，降低組成單元間的耦合程度，從而提高系統(tǒng)的維護(hù)性和擴(kuò)展。一方通過(guò)API發(fā)送遠(yuǎn)程請(qǐng)求，無(wú)需了解對(duì)方內(nèi)部系統(tǒng)的邏輯，即可訪問(wèn)對(duì)方開放的資源，實(shí)現(xiàn)數(shù)據(jù)和服務(wù)的互動(dòng)。目前，API已成為數(shù)據(jù)傳輸共享的重要手段。

2.2 API面臨的挑戰(zhàn)

2.2.1 API安全事件頻發(fā)

API的數(shù)量急劇增長(zhǎng)，與之相關(guān)的安全風(fēng)險(xiǎn)也在同步增加。近年來(lái)基于API安全所引發(fā)的事件屢屢發(fā)生：2018年Facebook公布了通過(guò)數(shù)據(jù)共享API被大規(guī)模網(wǎng)絡(luò)攻擊事件的細(xì)節(jié)，此次事件造成了3 000萬(wàn)用戶的賬號(hào)信息被泄漏；2020年淘寶報(bào)警稱有黑產(chǎn)通過(guò)mtop訂單評(píng)價(jià)API繞過(guò)平臺(tái)風(fēng)控批量爬取加密數(shù)據(jù)，共計(jì)11.8億條。由此可見，API已經(jīng)成為影響企業(yè)數(shù)據(jù)安全的重要風(fēng)險(xiǎn)來(lái)源。

2.2.2 API安全風(fēng)險(xiǎn)挑戰(zhàn)

從API自身特點(diǎn)來(lái)看，除了常見的傳統(tǒng)Web攻擊威脅外，API還面臨著越權(quán)訪問(wèn)、數(shù)據(jù)暴露、憑證失陷等威脅。同時(shí)，這些威脅檢測(cè)涉及到了API接口發(fā)現(xiàn)、參數(shù)檢測(cè)、行為識(shí)別、訪問(wèn)控制等多個(gè)環(huán)節(jié)，任何環(huán)節(jié)的缺失或不足都會(huì)影響到整體防護(hù)效果。所以，保護(hù)API安全的難點(diǎn)有以下幾點(diǎn)。

a）場(chǎng)景復(fù)雜，無(wú)法通用。API應(yīng)用業(yè)務(wù)場(chǎng)景十分豐富。在不同的業(yè)務(wù)場(chǎng)景下，一些風(fēng)險(xiǎn)特征或模型很難通用；同時(shí)，企業(yè)內(nèi)部混合著十幾年前的應(yīng)用系統(tǒng)和新上線的系統(tǒng)，系統(tǒng)的實(shí)現(xiàn)可能不一致，API存在多樣化的復(fù)雜性。

b）缺乏指導(dǎo)，難分主次。API安全防護(hù)雖然一直在發(fā)展，但目前還是處于探索階段，業(yè)界對(duì)如何解決API安全問(wèn)題，還沒(méi)有形成一個(gè)普遍認(rèn)可的最佳實(shí)踐，所以在落地API運(yùn)營(yíng)建設(shè)的時(shí)候容易缺乏指導(dǎo)，難分主次。

c）能力分散，無(wú)法閉環(huán)。即使在一些安全建設(shè)比較領(lǐng)先的行業(yè)，也大多存在能力分散、產(chǎn)品孤島的問(wèn)題，產(chǎn)品能力、工作流程之間沒(méi)有很好地打通，同時(shí)缺少對(duì)漏洞和風(fēng)險(xiǎn)的生命周期管理，沒(méi)有形成閉環(huán)，實(shí)際運(yùn)營(yíng)的效率比較低。

2.3 安全風(fēng)險(xiǎn)分析

原生API大多從易用性、便利性等角度進(jìn)行設(shè)計(jì)，往往缺乏對(duì)自身威脅的防護(hù)。而在API的設(shè)計(jì)實(shí)現(xiàn)中，也存在多種原因造成API之間的安全問(wèn)題。同時(shí)，敏感數(shù)據(jù)被封裝在業(yè)務(wù)場(chǎng)景中，通過(guò)API進(jìn)行交換，如果沒(méi)有采用安全標(biāo)記、多級(jí)授權(quán)、訪問(wèn)控制、安全審計(jì)等安全機(jī)制構(gòu)建安全的交換空間，也難以確保數(shù)據(jù)的安全。

針對(duì)API的可利用性弱點(diǎn)、普遍性弱點(diǎn)、可檢測(cè)性、技術(shù)影響、業(yè)務(wù)影響等方面，本文著重介紹其中影響較大的幾個(gè)問(wèn)題。

2.3.1 對(duì)象級(jí)授權(quán)失效

通常API采用令牌方式對(duì)用戶請(qǐng)求進(jìn)行鑒權(quán)，服務(wù)器會(huì)在用戶登錄之后生成一組不重復(fù)的字符作為令牌，在調(diào)用API時(shí)需要攜帶令牌由服務(wù)器進(jìn)行校驗(yàn)。這種機(jī)制的失效通常會(huì)導(dǎo)致未經(jīng)授權(quán)的信息泄露、篡改或破壞。對(duì)象級(jí)授權(quán)失效如圖1所示。

?圖1 對(duì)象級(jí)授權(quán)失效

2.3.2 用戶身份驗(yàn)證失效

如果身份認(rèn)證機(jī)制出現(xiàn)問(wèn)題，將使攻擊者得以暫時(shí)甚至永久冒充其他用戶身份，導(dǎo)致API的整體安全性降低。用戶身份驗(yàn)證失效如圖2所示。

圖2 用戶身份驗(yàn)證失效

2.3.3 對(duì)象屬性級(jí)授權(quán)失效

當(dāng)允許用戶通過(guò)API接口訪問(wèn)數(shù)據(jù)時(shí)，需要驗(yàn)證用戶是否具備訪問(wèn)對(duì)象的特定屬性訪問(wèn)權(quán)限，如果API接口上存在用戶不應(yīng)該讀取或訪問(wèn)的屬性，即使是不敏感的數(shù)據(jù)，被大量收集后，也會(huì)暴露個(gè)人隱私，造成數(shù)據(jù)的泄露。對(duì)象屬性級(jí)授權(quán)失效如圖3所示。

??0 3? ?

API安全運(yùn)營(yíng)研究

3.1 API安全運(yùn)營(yíng)思路

API由于數(shù)量大、更新快且關(guān)聯(lián)敏感數(shù)據(jù)和賬號(hào)的變更，對(duì)其進(jìn)行盤點(diǎn)和統(tǒng)計(jì)是后續(xù)安全防護(hù)的基礎(chǔ)。但大部分企業(yè)并沒(méi)有把API資產(chǎn)納入到資產(chǎn)盤點(diǎn)的范疇，未做好全面的資產(chǎn)梳理工作，會(huì)導(dǎo)致混亂、復(fù)雜的API資產(chǎn)臺(tái)賬。如應(yīng)用API域名、IP、端口、路徑的復(fù)用或拆分使用，呈現(xiàn)千“業(yè)務(wù)”千“API”的局面。

很多無(wú)用API沒(méi)有及時(shí)下線，形成了僵尸API，可能導(dǎo)致嚴(yán)重的安全風(fēng)險(xiǎn)。傳統(tǒng)上安全部門對(duì)API的盤點(diǎn)是依賴于業(yè)務(wù)部門的上報(bào)，但由于統(tǒng)計(jì)不全或更新不及時(shí)等種種原因，API資產(chǎn)很難通過(guò)有限人力以靜態(tài)的方法來(lái)完成持續(xù)有效的梳理。并且由于安全技術(shù)人員對(duì)業(yè)務(wù)鮮有了解，難以準(zhǔn)確理解API的各類業(yè)務(wù)屬性，無(wú)法建立起資產(chǎn)、告警、業(yè)務(wù)、業(yè)務(wù)人員的逐一對(duì)應(yīng)視圖，因此必須借助API檢測(cè)技術(shù)對(duì)API臺(tái)賬進(jìn)行梳理。

API檢測(cè)是一種軟件測(cè)試實(shí)踐，通常采用主動(dòng)掃描的方式，直接測(cè)試API的功能表現(xiàn)、可靠性、性能表現(xiàn)和安全性。API測(cè)試可以通過(guò)工具模擬請(qǐng)求的發(fā)送與接收，如Postman、JMeter等；或者代碼模擬請(qǐng)求的發(fā)送與接收，如JAVA自帶的Web、HttpClient等。除此之外，還有以流量監(jiān)測(cè)為基礎(chǔ)的API流量分析技術(shù)，可實(shí)現(xiàn)對(duì)API數(shù)據(jù)暴露面的治理和對(duì)數(shù)據(jù)攻擊行為持續(xù)發(fā)現(xiàn)。

API的指數(shù)級(jí)應(yīng)用使得API安全的條件變得異常嚴(yán)苛，也將企業(yè)推入了一個(gè)“高壓”的局面，企業(yè)應(yīng)該圍繞閉環(huán)性、可持續(xù)性的API建設(shè)思路進(jìn)行安全體系的設(shè)計(jì)和實(shí)施，基于均衡取舍研究的結(jié)果來(lái)定義系統(tǒng)安全設(shè)計(jì)元素，并且向系統(tǒng)安全設(shè)計(jì)元素分配安全機(jī)制，確定所期望的安全機(jī)制和實(shí)際有效的安全機(jī)制前端是否一致或相當(dāng)，檢驗(yàn)并最終確定設(shè)計(jì)元素和系統(tǒng)接口，制定安全規(guī)范等。

可以從以下幾個(gè)方面開展API安全運(yùn)營(yíng)實(shí)踐（見圖4）。

?圖4 API安全運(yùn)營(yíng)重點(diǎn)方向

a）全量API資產(chǎn)洞察。主動(dòng)發(fā)現(xiàn)網(wǎng)站、小程序、APP等全量API資產(chǎn)，提供API類型、級(jí)別、形態(tài)、生命周期等全方位的API資產(chǎn)描述。從應(yīng)用系統(tǒng)、數(shù)據(jù)標(biāo)簽組合、敏感等級(jí)、訪問(wèn)域、最近活躍時(shí)間、訪問(wèn)量等多種維度進(jìn)行分析、篩選，形成重點(diǎn)API清單。

b）API暴露面管理。通過(guò)API數(shù)據(jù)暴露面管理、重點(diǎn)API清單篩選，輔助實(shí)現(xiàn)攻擊面管理（ASM），完成泄露資產(chǎn)的發(fā)現(xiàn)及脆弱性檢測(cè)。對(duì)接入侵&攻擊模擬能力（BAS），評(píng)估企業(yè)安全技術(shù)措施的有效性，同時(shí)幫助滲透測(cè)試人員去更好更深度地滲透，持續(xù)加固API數(shù)據(jù)暴露面的管理。

c）API弱點(diǎn)全面評(píng)估。識(shí)別評(píng)估API脆弱性，包括接口權(quán)限類、數(shù)據(jù)暴露類、安全規(guī)范類、口令認(rèn)證類、高危接口類等問(wèn)題，能夠覆蓋OWASP API Top 10相關(guān)問(wèn)題點(diǎn)，并滿足主管部門及監(jiān)管機(jī)構(gòu)的合規(guī)要求。

d）API弱點(diǎn)確認(rèn)與修復(fù)。對(duì)接企業(yè)的安全SOC平臺(tái)，推動(dòng)API的弱點(diǎn)修復(fù)流程；同時(shí)集成到企業(yè)現(xiàn)有的ITSM/SIEM工作流中，形成弱點(diǎn)/漏洞工單處理流程；也可以基于弱點(diǎn)的危害性和風(fēng)險(xiǎn)影響面，直接通過(guò)郵件、釘釘?shù)菼M軟件推送給負(fù)責(zé)的業(yè)務(wù)部門去整改修復(fù)。在API弱點(diǎn)修復(fù)后，通過(guò)流量分析持續(xù)驗(yàn)證弱點(diǎn)是否完成修復(fù)，從而形成閉環(huán)。

e）API訪問(wèn)行為風(fēng)險(xiǎn)發(fā)現(xiàn)。由于在不同的業(yè)務(wù)場(chǎng)景下，一些風(fēng)險(xiǎn)特征或模型很難通用，因此在風(fēng)險(xiǎn)規(guī)則的基礎(chǔ)上提出了新的解決思路：以接口為中心，針對(duì)業(yè)務(wù)安全場(chǎng)景，識(shí)別并刻畫業(yè)務(wù)接口關(guān)鍵參數(shù)關(guān)系畫像，從而能夠以此畫像為基線，發(fā)現(xiàn)接口的訪問(wèn)行為風(fēng)險(xiǎn)。能夠識(shí)別的API新型攻擊風(fēng)險(xiǎn)類型包括異常API請(qǐng)求/響應(yīng)、異常訪問(wèn)行為模式、異常接口訪問(wèn)軌跡、異常數(shù)據(jù)調(diào)用行為等。

f）API風(fēng)險(xiǎn)研判與處置閉環(huán)。通過(guò)集成或?qū)油{情報(bào)，實(shí)現(xiàn)可疑行為的進(jìn)一步驗(yàn)證，通過(guò)旁路阻斷、聯(lián)動(dòng)防護(hù)設(shè)備等方式完成驗(yàn)證后的風(fēng)險(xiǎn)處置。

g）事件溯源分析補(bǔ)漏。針對(duì)API的異常風(fēng)險(xiǎn)事件，通過(guò)下發(fā)溯源任務(wù)，主動(dòng)進(jìn)行關(guān)聯(lián)事件的相關(guān)性檢索分析，對(duì)數(shù)據(jù)行為進(jìn)行精準(zhǔn)審計(jì)并將結(jié)果匯總，便于及時(shí)補(bǔ)漏安全缺口。

h）異常行為持續(xù)分析。通過(guò)HTTP全流量日志存儲(chǔ)檢索與分析，對(duì)敏感API、人員賬號(hào)、IP行為等要素進(jìn)行組合檢索，持續(xù)監(jiān)測(cè)異常行為，將API安全運(yùn)營(yíng)做到更高的高度。

i）集中管理統(tǒng)一運(yùn)營(yíng)。通過(guò)威脅情報(bào)管理、暴露面治理、風(fēng)險(xiǎn)聚集性挖掘、異常行為審計(jì)分析等API運(yùn)營(yíng)手段，匯聚分析API風(fēng)險(xiǎn)并進(jìn)行集中管理，打破孤島效應(yīng)，提升運(yùn)營(yíng)效率。

從企業(yè)視角來(lái)看，忽略API資產(chǎn)加劇了整個(gè)API風(fēng)控運(yùn)營(yíng)體系的實(shí)施。建議企業(yè)結(jié)合自身的業(yè)務(wù)狀況，打造API運(yùn)營(yíng)中心，以主動(dòng)發(fā)現(xiàn)API資產(chǎn)、完成API接口資產(chǎn)清單為安全基建，逐步打造API弱點(diǎn)評(píng)估、風(fēng)險(xiǎn)監(jiān)測(cè)、威脅攔截、異常行為審計(jì)、集中管理等能力，最終實(shí)現(xiàn)API安全運(yùn)營(yíng)閉環(huán)的落地。API風(fēng)險(xiǎn)運(yùn)營(yíng)流程如圖5所示。

圖5 API風(fēng)險(xiǎn)運(yùn)營(yíng)流程

3.2 API安全運(yùn)營(yíng)價(jià)值

3.2.1 數(shù)據(jù)流動(dòng)態(tài)勢(shì)識(shí)別

可識(shí)別自定義的流入、流出應(yīng)用系統(tǒng)的敏感數(shù)據(jù)（包括Web頁(yè)面內(nèi)和傳輸文件內(nèi)的敏感數(shù)據(jù)）的種類和數(shù)量，記錄存儲(chǔ)訪問(wèn)系統(tǒng)傳輸敏感數(shù)據(jù)的詳細(xì)信息，包括用戶IP、姓名、部門、訪問(wèn)對(duì)象、訪問(wèn)時(shí)間以及訪問(wèn)內(nèi)容等詳情，構(gòu)建應(yīng)用系統(tǒng)的敏感數(shù)據(jù)流動(dòng)地圖，提供記錄的多維度查詢功能，可以快速、全面地知曉什么人在什么時(shí)間通過(guò)什么方式獲取了什么敏感數(shù)據(jù)。

3.2.2 應(yīng)用系統(tǒng)接口管理

針對(duì)每個(gè)業(yè)務(wù)系統(tǒng)，梳理其接口數(shù)量和情況，形成應(yīng)用接口清單。從是否傳輸敏感數(shù)據(jù)、接口的活躍程度、上傳/下載等方面將接口進(jìn)行分類分級(jí)，檢測(cè)接口存在的無(wú)鑒權(quán)訪問(wèn)、后門接口等暴露面，并進(jìn)行分類匯總展示，實(shí)現(xiàn)暴露面可還原，幫助安全人員摸清接口的脆弱性，推動(dòng)系統(tǒng)側(cè)進(jìn)行應(yīng)用系統(tǒng)設(shè)計(jì)和運(yùn)維方面的問(wèn)題整改。

3.2.3 敏感數(shù)據(jù)風(fēng)險(xiǎn)預(yù)警

建立各類敏感數(shù)據(jù)風(fēng)險(xiǎn)監(jiān)控指標(biāo)，構(gòu)建分析模型，對(duì)數(shù)據(jù)行為建立用戶基線、接口基線、系統(tǒng)基線等，實(shí)時(shí)監(jiān)控多個(gè)維度的運(yùn)行狀態(tài)，實(shí)時(shí)發(fā)現(xiàn)非正常時(shí)間訪問(wèn)、大量數(shù)據(jù)異常下載、敏感數(shù)據(jù)未脫敏、偽脫敏等各類異常行為，并及時(shí)告警，防止大規(guī)模的敏感數(shù)據(jù)泄露、竊取、濫用等風(fēng)險(xiǎn)。

3.2.4 數(shù)據(jù)泄露事件溯源

實(shí)現(xiàn)敏感數(shù)據(jù)流動(dòng)地圖的可視化展示，能夠清晰地展示應(yīng)用系統(tǒng)、接口等清單報(bào)表和運(yùn)行安全性，自定義敏感數(shù)據(jù)標(biāo)簽和風(fēng)險(xiǎn)指標(biāo)，詳細(xì)記錄日志并針對(duì)脆弱性、風(fēng)險(xiǎn)事件進(jìn)行分類統(tǒng)計(jì)、分析和展示。在完整記錄敏感數(shù)據(jù)流動(dòng)、訪問(wèn)操作的基礎(chǔ)上，做好數(shù)據(jù)內(nèi)容、賬號(hào)、接口等多維度的溯源，還原風(fēng)險(xiǎn)路徑、評(píng)估影響面。

? ?0 4? ?

API安全運(yùn)營(yíng)總結(jié)

從長(zhǎng)遠(yuǎn)來(lái)看，可以通過(guò)將本文的解決方案與用戶現(xiàn)有的工作流程無(wú)縫集成以及與用戶現(xiàn)有的平臺(tái)/技術(shù)緊密融合，從而建立一個(gè)有效的閉環(huán)驗(yàn)證機(jī)制。同時(shí)，還可以利用API接口上下文畫像，建立正常行為的基線，并檢測(cè)異常和離群的風(fēng)險(xiǎn)，實(shí)現(xiàn)風(fēng)險(xiǎn)規(guī)則的自動(dòng)調(diào)整，加強(qiáng)風(fēng)險(xiǎn)自動(dòng)化運(yùn)營(yíng)能力?？紤]到企業(yè)內(nèi)部職責(zé)邊界的情況，設(shè)計(jì)清晰的用戶使用路徑，使參數(shù)配置可視化并實(shí)現(xiàn)精細(xì)化運(yùn)營(yíng)。這些舉措將提升API風(fēng)險(xiǎn)管控機(jī)制的建設(shè)與運(yùn)營(yíng)實(shí)踐水平，真正實(shí)現(xiàn)API安全運(yùn)營(yíng)落地，為企業(yè)發(fā)展帶來(lái)持續(xù)的收益和效益。