计算机环境已从IT时代进入了DT时代，在实际业务应用中，信息资产有着显著的财产和资源属性，企业的业务数据，是企业最本质的生产要素。数据在流动使用中，价值得到了最大的体现，但随之而来的是数据流动中的安全风险。包括员工数据权限管理、用途授权控制粗放、泄露敏感数据、离职员工权限回收等数据安全风险2023年1月，十几个汽车品牌曝出API相关漏洞。远程信息处理系统中的API漏洞不仅仅泄露了客户数据，还允许恶意行为者远程实现按喇叭、闪烁灯、远程跟踪、开关车门、启停车辆等操作； 同月，T-Mobile公开承认，黑客利用一个API漏洞窃取了3700万客户的数据；2023年6月，Patchstack研究人员报告称，WooCommerce公司最受欢迎的WordPress支付插件WooCommerce Stripe Gateway中存在一个严重API漏洞，允许未经身份验证的用户查看用户订单的敏感数据，包括电子邮件和完整地址。该漏洞累计泄露50万以上用户的个人隐私数据；同样在6月，Eaton Works的一名研究人员入侵了某知名汽车品牌的电子商务平台，通过利用API接口漏洞，他可以重置任何账户的密码，并获得完整的客户信息、经销商信息、付款密钥和内部财务报告。该事件导致了近4万条车主记录数据被泄露；此外为超过18万家企业提供云“目录即服务”（directory-as-a-service）的软件服务商JumpCloud公司，因API相关漏洞而全部更改了其API应用密钥。上述不乏在行业中取得领先地位的企业,部分企业对API漏洞的防护处于“心有余而力不足”状态，防护能力的增长跟不上业务及系统的发展。公司业务规模越大，内部API存量就越庞大、复杂，潜在的数据泄露风险也越大。当前主要的应用框架都是富客户端模式，服务器端更像是数据源，客户端通过在请求中携带参数从服务器的响应中接收原始数据， 由客户端进行一定的数据处理。这就导致服务器端需要暴露大量的服务接口。个人数据信息流不断开放，流动速度不断加快。同时，业务的不断变化导致接口的生命周期差异很大， 如电商在活动期间上线的功能，在活动结束后相关的功能没有下线， 很容易被攻击者发现并利用。另一方面信息化建设让系统越来越多如TOB、TOC、内部系统、共享开放等系统，系统更加多样化，相互间的数据传输大多数采用的API实现方式或前后端分离等技术特点实现，大大增加了API在目前多个行业的场景。API在带来巨大便利的同时也带来了很多安全问题，很多企业甚至自己的不知道有多少API被开放，是否受控使用和有效使用，有怎样的安全风险和隐患，就更不得而知。

API安全造成的影响越来越大，而传统API安全网关的部署与维护成本高，无法有效防护新兴安全威胁。在此背景下，爱加密创新地推出了“爱加密API风险监测平台”，面向Web、APP、小程序、IoT等应用系统的持续动态的流量监测分析系统，帮助实现API数据暴露面的治理和对数据攻击行为的持续发现。部署在企业/组织的互联网出口，实时监控企业组织API的数据暴露面以及被攻击情况。实现API的资产管理、API弱点发现、实时攻击行为监测，为业务创新保驾护航。爱加密API风险监测平台通过对镜像流量和pcap文件中的流量进行解析还原，自动发现流量中的API资产并聚合到应用维度，最终以概览、APIs、弱点、风险、态势、报告等维度呈现给用户，实时为API安全提供保障。可通过syslog或kafka的形式对流量 数据进行同步处理，  帮助用户及时发现弱点&攻击的变动情况。

API资产全面可见

系统通过解析API流量，自动持续发现所有内部、外部和第三方 API，提供参数、参数函数和暴露的敏感数据等精细细节，帮助了解攻击面并评估风险。自动对接口进行分类，识别未知的API与过时、失活的API，有效地减少甚至避免这些未知或失活的API对组织构成重大风险。支持普通接口、Restful接口、when-case接口，支持覆盖个人信息安全规范上的9大类共计71小类数据标签的自动识别和打标。通过识别数据暴露面，形成一个数据暴露面清单，方便对API数据暴露面进行管理防止敏感数据被泄露。并可对应用结构的深度还原，还原应用的结构特征。

API弱点梳理

系统可基于流量中的API资产自动发现API弱点，并针对这些弱点特征进行合理的分类分级，支持5大类21小类的弱点监测，支持检测的弱点类型覆盖了口令认证类、数据暴露类、访问权限类、高危接口类、安全规范类等维度。不仅能提供API弱点还可提供补救见解，显示弱点详细信息；还原接口的请求和返回内容，提供查看接口样例的功能，能够减少排查时间并帮助客户安全团队高效地进行脆弱性修复。

实时攻击行为检测

系统会通过无监督学习算法主动对API接口进行攻击学习，识别API扫描、试探等攻击风险，内置大量基于上下文的数据攻击风险规则，帮助用户精准定位数据泄露源头，整合风险事件类型。相对于传统安全中无上下文识别引擎的WAF，系统会去对数据行为进行上下文分析，发现有价值的数据泄露风险，减少误报。供关联风险的威胁IP画像与分类；事件样例还原帮助客户进行溯源分析应对攻击。爱加密API风险监测平台支持旁路镜像、Agent模式部署，并可同第三方平台的无缝对接，支持通过数据订阅、开放API的形式把系统中的资产、弱点、风险等信息同步到客户的第三方平台中。

爱加密致力于帮助企业发现、保护处于互联网暴露面上的API，并利用机器学习、AI和大数据引擎来发现所有API及其暴露的数据，从而防范API攻击并从源头消除漏洞，帮助企业减少安全隐患，减少数据泄露事件，共同守护互联世界。

END

欢迎给我们留言或评论~

我们将持续发布技术解读、解决方案、行业报告

点击关注，不错过下次精彩内容