“随着云计算、移动互联网、物联网的蓬勃发展,越来越多的应用开发深度依赖于应用程序编程接口(以下简称API)之间的相互调用,API安全受到广泛重视。与此同时,API也正成为攻击者重点光顾的目标,国际国内API遭受攻击的事件屡见不鲜,众多企业面临新的安全挑战。因此,不断优化升级安全技术,帮助企业探索适应新需求的安全体系具有重要意义。” 4月15日,在由数世咨询举办的“2022 API安全之道创新沙龙北京”上,数世咨询创始人李少鹏说。
星阑科技CTO徐越表示,在万物互联、各行业数字化转型的时代背景下,大量企业能力以SaaS化的API服务方式与第三方厂商集成,如金融OpenBanking、数字政务平台、大规模分布式互联网应用、智慧城市、物联网等场景。企业数据通过API进行传输,API数量不断增长,导致API安全问题成为焦点。
一方面,随着API逐渐成为承载数据流动的“主干道”,其弱点也逐渐被网络攻击者关注。另一方面,随着《数据安全法》《个人隐私保护法》的正式实施,企业数字化转型过程同样面对数据传输安全监管要求。企业应对API安全风险可以从API生命周期入手,在API的设计-研发-测试-运行-下线不同阶段植入安全保护能力,同时技术侧的解决方案应兼顾业务需求与云化的IT基础设施。
奇安信资深安全专家、锐安全主理人张晓兵在《从框架看世界-看清安全过去窥测安全未来》讲到,世界是什么样子,取决于我们看待这个世界的框架是什么样子。他从技术、合规、架构等不同角度讲述了在不同框架下的安全是怎样的。
“当我们将安全看作一个接口,那就是API安全,大家对API安全的理解虽然有相似,有交叉,但一定是不同的。”张晓兵说,比如信通院《API数据安全研究报告》认为API安全是数据安全的一部分,它承担不同复杂系统环境、组织机构之间的数据交互、传输的重任。在奇安信《API安全能力建设桔皮书》中认为,API是一种云原生技术、资源集中连接的利器、数字化转型的核心能力。
而他认为,API是一种全新的安全逻辑,安全行业逻辑经历了四个阶段,从最初的面向单一的安全问题、到面向环境和IT架构解决综合威胁,再到与业务紧耦合解决业务风险,最终再发展为面向连接,即基于抽象架构来使用松耦合和可扩展的方式来解决更多综合性威胁;API就是属于面向连接中的一种。
圆桌讨论环节,李少鹏、张晓兵与星阑科技CEO王郁围绕“如何确保API安全”话题展开讨论。从“什么是API安全、API安全到底有多重要、目前国内存在哪些行业场景、对API安全的需求最为迫切、企业API安全建设当从何处入手”等多个问题进行了深刻的讨论和交流。
谈到API安全,王郁表示,目前API承载着越来越复杂的应用程序逻辑和越来越多的敏感数据,API基础之上也诞生了非常多的新兴通信场景。作为一把双刃剑,API在为企业提供便利的同时,也成为攻击者关注的重点目标。星阑科技通过API资产智能识别、API威胁及行为监测、API数据流动监测等维度为数字金融、开放银行、云计算等应用场景提供API安全防护能力,并提供开放灵活的场景配置能力,致力于帮助企业建立API全生命周期防护。
张晓兵提到,API可以解决高价值和高交互的问题,在新技术驱动下,该市场会有更广阔的前景。另外,他还表示优秀的API安全产品需要关注前期的动态资产梳理,实时帮助客户理清API资产才能做到更全面地防护,减少因资产不明确带来的一系列安全问题,从而才能开展后期的API全生命周期安全建设。
(文章来源:科技日报)