诸子云|活动：3.12“ASMC·API安全管理论坛”上海站

数字化时代，数据已成为生产要素，作为数据交互的重要方式，API已经成为了IT架构中的重要基础设施，在现代应用程序架构中发挥着非常重要的作用。然而，创新发展和安全意识发展的不同步，必然会导致安全风险的增加；与此同时，在《数据安全法》《个人信息保护法》已经施行的今天，API不仅面临着数据安全和业务安全两大风险，同时也在承受监管合规的考验。

在此背景下，3月12日，“ASMC·API安全管理论坛·上海站”在古井假日酒店举行，诚邀业界安全领域技术专家以及企业信息安全决策者，共话数字化时代下API面临的挑战，探讨企业如何进行API安全管理，保护企业数据安全。

本次活动由永安在线联合安在新媒体共同举办。安在新媒体创始人张耀疆担任主持，简单的开场白之后，适时将话筒交给了在场嘉宾。

活动有幸邀请申通地铁、平安科技、锦江酒店、中通快递、游昆科技、国金证券、上海证券交易所技术公司、光大证券、安达保险有限公司、找钢网、美运通、万事达卡、极兔快递、中银证券、汇华理财、得物APP、邮政储蓄、极豆互联网、中移智行、吉宝置业、百胜软件、平安财险、九方智投、蔚来汽车等企业的安全专家参与。

永安在线产品总监黄巍、九方智投产品技术负责人张福明、中银证券安全运营总监韩景、某互联网公司网络安全负责人黄鹏华，四位专家进行了分享。

API安全管理的更优解：以情报建立API安全基线

黄巍  永安在线产品总监

数字化时代，API承载了数据的流动和业务逻辑，已经成为了新的攻防面。事实上，根据威胁情报统计，当前企业90%以上的攻击事件都与API有关。API的攻防面和现有的安全攻防之间存在比较大的区别，并且现有的解决方案在API安全管理上存在明显不足，因此如何做好API安全管理，是企业面临的一个重要挑战。

永安在线提出了通过旁路流量分析，基于情报实现API安全管理的思路。主要包括对于API资产进行持续动态的梳理，掌握API资产上所承载的涉敏数据的情况；在这之上，基于情报对攻击进行有效识别，发现攻击并提取相应特征，进而联动WAF、风控，对针对API的攻击进行阻断。通过解决方案可以实时感知从API上线，到API服务，最后到API废弃的过程，发现API安全状态的变化，持续感知API面临的缺陷和风险。

永安在线持续挖掘黑产相关情报，情报收集来源包含什么人，在什么地方，使用什么资源，通过什么手段，最终获得什么回报。通过对黑产商业链条的持续监控从而获取攻击情报、攻击资源情报、攻击工具情报，最终形成情报画像，并将情报数据与API安全管控系统进行实时同步，帮助企业掌控攻防对抗的主动权。

总整体的技术架构图来看，这套解决方案是基于网络镜像流量和情报为基础，在这之上搭建异常流量清洗、API动态识别、API缺陷评估和API风险发现四大模型，完成包括API动态梳理、API缺陷评估、API风险感知和IOC阻断的API安全的闭环管理。

永安在线API安全管控系统包含如下关键技术。首先是基于图模型技术实现API资产动态梳理：在API资产发现方面，永安在线通过对镜像流量的有效清洗解析后，采用图聚类模型算法完成API资产的归纳提取，在涉敏数据识别方面，永安在线使用正则匹配、数据校验与NLP技术实现了涉敏数据的精准识别，最终实现了用户API资产的动态可视化。

其次是基于情报构建API行为基线，发现未知的安全风险。系统可以对攻击者所使用的恶意通道、恶意数据、恶意工具等信息进行识别，并实时与API风险基线进行结合分析，准确感知API的风险事件。

此外，解决方案可以提炼攻击者的攻击特征IOC，把攻击信息以API接口的方式实时输出，与网关、WAF或风控系统进行联动，实现多点防御，及时阻断攻击流量。针对攻击IP，提供情报标签、访问次数、地域、使用设备等标签信息，方便安全团队进行深入的统计分析。

在API资产识别的基础之上，永安在线提供了账号资产的识别及相关风险的判定，通过配置规则对用户的账号和认证凭证信息进行提取，并与API及涉敏数据进行关联分析，掌握账号的访问行为特征和访问数据特征，实时感知账号风险事件并及时进行安全处置。

总的来说，API安全已经成为企业业务及数据安全运营工作的重要一环，永安在线基于情报构建了API安全管理方案，主要包括：

1、助力企业完成API资产的梳理及存在异常状态的API资产的清点，缩减企业在API维度的攻击面和数据暴露面；

2、助理企业实时评估API资产在数据权限、数据暴露、口令认证等API缺陷，并完成缺陷的闭环管理，防患于未然；

3、基于情报基线，帮助企业实时感知API、账号及访问IP的风险，并与外部系统进行联动处置

基于API场景的数据安全实践

张福明   九方智投产品技术负责人

企业之所以要进行API安全建设，是因为目前传统的安全防护手段主要以边界式的网络安全为主，对于API敏感数据安全没有覆盖；同时，大部分企业的安全和研发分属两个团队，安全很难接入研发工作，存在API数据泄露和违规访问的风险；此外，主流的WAF防御以南北向为主，东西向API防护不足。

与此同时，API安全形势日益严峻，主要呈现危害性大、隐蔽性强、漏洞发生率高、重视度不够等特点，一旦发生API安全事件，就会伴随大量的数据泄露和未经授权的访问。以Facebook此前发生的API安全事件为例，不法分子直接窃取了Facebook的用户数据“全家桶”，包含全球约5.33亿Facebook用户的手机号码和其他个人信息，甚至Facebook创始人马克扎克伯格的电话号码也未能幸免。

所以，企业必须要重视API安全管理。

九方智投当前API数据安全实践主要包含四个方面，分别是API制度规范、API监测平台、接口监控可视化以及攻防对抗。

我们制定了超过300页的API制度规范，对于需求开发、研发里路程、安全介入时机、如何评估上线等方面进行了详细的阐述，同时对于接口如何处理、如何定义、如何加密、调用链路的形态等方面给出了具体的指导。

简单来说，安全管理=3分技术+7分管理，所以建立API制度规范是API安全管理的必要前提。但随着时代的发展，我个人认为技术的重要性日益提升，安全管理=5分技术+5分管理，既要重视监管，更要加强技术，文武兼备，才能应对挑战。

大部分企业并不清楚API资产的数量，并且有时会存在业务下线API依然残留、调用的情况，数量很多，仅凭人工很难对API的历史数据和使用情况进行梳理，因此我们打造了API监测平台。

通过“雷达”的能力，对API资产进行梳理，将API的数量、调用、敏感情况梳理出发，发现其中的脆弱性和敏感信息，形成可视化的能力，并进行溯源审计，从而在后续进行相关能力的不足，做好API安全管理。

接口监控可视化的意义在于，基于多维数据的关联检测分析，做到预警可视化，实现过程管控、实时分析、秒级响应。我们将所有的云服务集群放在平台上动态显示，当某一个节点发生问题，就会触发报警；API发生访问问题时，就会标黄异常；安全监控可以重点关注访问最高的API，显示每个时间的访问情况，以及峰值。

我们需要以攻击者的视角来思考如何针对API展开攻击，拿到关键数据，从攻击者视角纵深检测、防守各个环节，将攻击化整为零，并定期展开攻防演练，以攻促防。这样做的意义在于，不仅可以提升企业的API安全防护能力，还能够在这个过程中刷新研发团队的安全意识，从而形成团队间的密切配合，避免矛盾。

企业当前正在面临数字化转型的关键时期，在数字化的背景下，API安防将是一场持续的保卫战，一轮没有尽头的博弈！

企业API的收敛与保护

韩景   中银证券安全运营总监

近年来，随着互联网快速迭代，为了项目能保持高速发展，越来越多的公司开始在新业务的选型上，选择微服务架构。这种开发框架能够给企业提供各种各样的功能，使得快速开发的能力得到了极大的提高。

但是微服务的开发框架也存在很多问题，产生很多漏洞，由此也就带来了API安全问题。当前企业面临的API安全问题主要包括这几个方面：

1、授权、认证与审核等安全机制；

2、访问量的负载平衡和速率限制；

3、通信和网络中的数据隐私问题；

4、API底层框架漏洞。

业界当前对于API安全管理的通用解决方案，首先是通过API安管网关类产品，全流量设备，并配合SOC等工具，形成自动化处置流程，对API安全事件进行自动化报警；其次是要做常规性的渗透测试，并进行日志监控和AI分析监控，最后还要采取抗DDOS网络防护。

基于此，中银证券进行了API安全实践。

首先对API资产摸排管理，这也是大部分企业API安全当前亟需解决的问题，通过资产摸排，把系统上线时管理员上报的资产，渗透测试时发现的资产，全流量产品监控到的资产进行登记，继而进行管控。

常规的渗透测试可以帮助企业发现API所使用的的框架、脚本，以及当中可能存在的问题，将其一一登记；并且要逐渐形成自动化的管控方式，建设自动化的SOC处置平台，进行自动化的日志监控和AI分析监控。最后，通过抗DDOS网络防护和全流量或产品资产及攻击监控，做好API安全管理。

强监管下企业数据安全风险管控的思考

黄鹏华    某互联网公司网络安全负责人

数据通过流动才能释放数据要素的生产力，应对数据在流动中对当前的数据安全工作带来的挑战，可以从确保组织重视、数据自动识别、数据生命周期视角的安全防护、数据流转路径视角的安全防护、隐私计算助力对外数据流通这五个方面入手，形成涵盖管理、运营、技术的整体思路。

要确保组织重视，首先要确认组织关于数据安全的总体方针和策略，在高管层面形成对数据安全工作重要性的统一认识，设立三层的组织架构。决策层是由高管组成的数据安全管理委员会，负责数据安全工作，制定数据安全的策略和发展规划；管理层由安全部门组成，根据方针推进具体落地措施，各业务部门的安全接口人协助安全部门传达数据安全管理要求，并落实相关措施；最后成立审计小组，对工作进行监督，并将情况反馈到决策层。

其次，要在管理制度上确保组织重视，建立四层文件的安全管理制度。第一层是安全方针，制定顶层文件；第二层是管理制度，根据安全方针的要求，做出具体规定；第三层是流程指南，与各类管理制度要求相对应，针对具体落地实施的操作规范、指南等；最后一层是模板、清单，也就是执行过程中产生和使用的过程性文档。

企业需要知道自己有多少数据，存储在哪里，所以需要数据自动识别，主要包括摸底排查和分类分级两个步骤。前者是为了熟悉业务，了解数据的情况和存放位置；后者是根据摸底排查的初步结果，结合相关法律法规、标准文件要求制定分类分级制度，并进行自动识别。

数据分类的方式主要有三个，分别是用户数据、业务数据和公司数据。数据分级通常建议分为四级，分别是公开数据（一级）、内部数据（二级）、机密数据（三级）、绝密数据（四级）。

在完成数据识别和分类分级后，就需要保证数据在组织内流通的安全。首先对数据生命周期视角的安全防护，主要在在数据收集、传输、处理、存储、交换、销毁阶段采取安全措施。

针对组织内部，可以建立统一认证和访问管理服务、统一脱敏服务、统一加解密服务。统一认证和访问管理采用平台化接入的思路，运用应用网关技术实现单点登录以及统一权限管控，在实现集中管控同时，还提升用户的使用体验。

数据脱敏主要有两种类型，静态脱敏和动态脱敏；数据加密有四个层次，依次是介质加密、文件加密、表空间加密、字段加密。统一加密服务可以解决各业务线各自加密带来的加密标准不一致、密钥管理不规范、加密方式使用不当等问题。同时还能通过SDK或者网关提供统一加解密服务；集中对性能进行调优；通过IP、用户、密钥等纬度进行访问控制；在防护粒度上做到字段级别的加密；密钥统一管理，做到密钥不落地、多级密钥管理、密钥备份还原；场景化加密服务，根据业务场景提供不同级别的加密。

第二个保证数据在组织内流通安全的思路是数据流转路径视角的安全防护，包括流转路径资产梳理、流转路径风险识别、流转路径审计三个部分。整个过程要形成持久化的安全运营，覆盖全路径，避免留下隐患。同时避免对业务形成过大的侵入，在不影响业务的情况下对流转路径进行测绘。

目前企业数据流转多通过API的方式实现，既有对外提供服务的API，也有对内调用的API。数据流转路径视角的安全防护一项重要的工作就是对API安全防护。涉及API资产识别、API风险监测和API风险防护三个方面。

而在数据对外流通时候，可以通过隐私计算，保障数据在流通和融合过程中的“可用不可见”。隐私计算主要包括联邦学习、安全多方计算、机密计算、差分隐私、同态加密五个方面的技术，但该技术还处于快速发展阶段，需要持续改进。

总的来说，应对当前的数据安全风险，企业需要做到以下四点：

1. 获得组织的重视，数据安全工作需要整个组织一起完成，仅靠一个部 门是不肯能完成；

2. 做好分类分级基础工作，明确有哪些数据以及在哪里；

3. 数据对内流转两个思路：数据全生命周期视角、数据流转路径视角；

4. 数据对外流通：隐私计算达到“可用不可见”，保护个人隐私。

齐心抗疫 与你同在