API已成为企业内部数据泄露的罪魁祸首

安全 数据安全
大部分企业的数据泄露都来自于内鬼,而通过API窃取企业内部数据的比例越来越高。最近和一些甲方企业信息安全部门沟通,发现企业一些内部系统API相互调用并没有采取认证、鉴权等安全措施,企业内部人员非常方便通过API接口窃取数据进行牟利。

一、引言

大部分企业的数据泄露都来自于内鬼,而通过API窃取企业内部数据的比例越来越高。最近和一些甲方企业信息安全部门沟通,发现企业一些内部系统API相互调用并没有采取认证、鉴权等安全措施,企业内部人员非常方便通过API接口窃取数据进行牟利。在他们安全观点里面,认为只需要管好数据库就行了,部署数据库审计、保垒机等相关安全产品就行了,但是随着业务系统复杂化和技术更迭,实际上相应的暴露面也会增加,因此安全防护手段也必须与时俱进。如果要做好企业数据安全,API安全问题也不能忽视。

二、什么是API?

API是“应用程序编程接口”(Application Programming Interface)的缩写,它是一套规则、协议和工具,用于构建软件应用。 API定义了不同软件组件之间如何交互,允许开发者更容易地使用某些功能,而无需了解其内部实现细节。

API的作用和重要性在于它提供了一种标准化的方式,使得不同的软件或系统之间可以进行数据和指令的传输,从而实现集成和共享。通过API,应用程序可以相互通信,执行特定的任务,而不需要深入了解对方的内部工作机制。这使得软件开发更加高效,降低了不同系统之间的耦合度,提高了系统的可扩展性和可维护性。

了解API安全,必须要了解API和URL,这两者容易弄混淆。URL是统一资源定位符,是对资源的位置和访问方法的一种简单表示,用于访问特定的网页、图像或文件。API则包括请求地址(URL)、请求方法、请求参数、响应结果、时间戳、密钥、Hash算法和API网关等多个部分。

三、API资产是什么?

API也是网络空间资产的一部分,并不是只有传统的终端、网络设备、安全设备、容器等,随着业务场景、网络架构、新兴技术的发展,网络空间资产类别会越来越丰富,越来越细粒度,只有把网络空间的资产摸清摸细,才能更好地保护网络空间安全。API资产除了每条基础信息外,还应当包括部署IP、API访问源、通信次数、功能标签、责任人等,刻画得越细致就越能弄清API资产的风险,必须做好API资产的画像。

API有很多类型,按照不同协议和风格划分,包括RESTful API、GraphQL API、SOAP API、gRPC API等,其中RESTful API应用得最为广泛。

四、如何识别API资产?

高效和精准识别API资产非常重要,识别API资产的方法很多,但是都不能完全解决相应问题,必须依靠多种识别方法共同作用才能达到非常好的效果。下面列举一些识别方法。

综合来说,如果要做好API资产识别,必须结合多种方法和技术,结合不同的应用场景,在不影响业务情况下,做好API资产的识别,在现实情况中,还是会存在将URL识别为API的情况,也可以结合机器学习等相关技术作为辅助来做API资产识别。

五、如何保护API安全?

业务系统非常多的企业,API安全至关重要,很多情况下存在监管的真空地带,研发人员为了省事方便,并没有严格遵循安全原则。以下列举一些API安全保护的方法。

1.认证和授权

使用Oauth2.0、JWT等标准协议来验证用户身份,限制资源访问,做好API密钥管理和访问控制策略。

2.加密和脱敏

使用 HTTPS来保护数据在传输过程中的安全,防止中间人攻击,使用AES、SM4等加密方法对数据库中敏感信息进行加密,或使用动态脱敏方法对数据进行脱敏。

3.API监测和分析

将API进行集中管理,详细记录API接口调用日志,基于UEBA技术,当发现异常调用时进行告警和处置。

4.加强代码审计和安全验证

企业信息安全部门应对业务系统的代码进行专门审计,加强API的统一管理,持续针对API进行安全验证。

保护API安全的方法很多,最重要的一点是从管理做起、从安全开发做起,不能忽视API导致数据泄露的现象和问题。

六、总结

在企业内部通过API窃取公司内部数据的情况还是很多的,大部分企业默认内部是安全的,没有认识到即使都是内部系统也应当注重API安全,通过API窃取数据通常难以发现和溯源,如果本身没有日志记录,追溯更是难上加难,正好成为企业内鬼可利用的弱点。


责任编辑:华轩 来源: 兰花豆说网络安全
相关推荐

2019-05-27 10:22:26

Oracle日志数据库

2015-10-14 11:04:53

2015-11-23 10:29:48

app隐藏通信安卓耗电

2019-06-04 14:19:53

AWS谷歌岩机

2020-03-12 10:32:29

身份验证零信任安全密码

2015-10-14 11:32:55

机房空调制冷

2021-12-12 21:51:54

人工智能银行内卷

2011-04-21 16:34:56

打印乱码接口

2011-06-28 10:21:47

2020-10-26 16:35:53

内存JavaThreadLocal

2018-01-29 23:13:47

大数据战略数据分析

2011-08-12 10:04:52

数据中心宕机EPO

2018-09-10 09:43:26

2020-12-01 06:58:29

富领域模型服务

2009-02-25 08:58:30

裁员上网本微软

2020-05-19 13:54:02

成熟度模型数据科学数据分析

2009-06-03 08:48:26

2010-09-01 09:33:15

网络故障

2010-07-12 16:24:20

2022-11-16 16:14:46

单踏板模式特斯拉
点赞
收藏

51CTO技术栈公众号