永安在线首届API安全管理论坛成功举办

12月3日，由永安在线举办的首届API安全管理论坛在深圳举办。在论坛上，OWASP中国的广东区域负责人肖文棣、腾讯技术工程事业群安全专家胡珀、乐信集团信息安全中心总监刘志诚等多位专家从不同视角对API安全带来的挑战与风险进行了深度剖析，并分享了针对性应对策略与治理的最佳实践。

 

伴随着云计算、移动互联网、物联网的蓬勃发展，越来越多的开发平台和第三方服务快速涌现，应用开发深度依赖于API之间的相互调用，API承担起连接服务和传输数据的重任。随着API广泛应用及快速不断增长，在带来巨大便利的同时API也带来了新的安全问题，如何让API安全与发展同行，成为各大企业迎接数字化变革的重要一环，同时也得到了安全行业的广泛关注。

 

 

OWASP 中国广东区域负责人肖文棣在演讲中指出，在当今由应用程序驱动的世界中，API（应用程序编程接口）已经成为了创新的基本要素。在银行、零售、运输到物联网、自动驾驶汽车和智慧城市等多种场景下，API 已经成为现代移动、SaaS 和 Web 应用程序的重要组成部分，并广泛分布于企业面向客户、面向合作伙伴以及内部的应用程序中，因性质使然，API 会暴露应用程序逻辑和个人身份信息 (PII) 等敏感数据。正因为如此，API 逐渐成为众多攻击者的目标，没有安全的API就不可能实现快速创新。

 

随后，他对报告中提到的十大关键API风险进行了解读，并结合具体攻击和案例剖析了不同类型API存在的安全风险，向参与到API开发和维护过程中的开发人员、设计师、架构师、安全人员等给出了详细的安全设计建议。

 

 

肖文棣指出，第一，在API接口的开发与维护过程中，授权是极为关键的关注点，因此首先要做到的就是关注组合对象、组合功能之间的授权；第二，安全是设计出来的，因此在做威胁建模的时候要采用最小化原则，默认不许可和默认没有任何权限，只在有需求的情况下进行授权；第三，配置最容易犯错误，在API开发时一定不能使用默认值，让攻击面最小化；第四，注入是永恒的话题，在开发的过程中要每一次注入、输入都需要检验；第五，通过日志监控是十分必要的监控手段，所有的错误都会在日志中有记录，并且日志拥有无法更改的天然属性。

 

 

在题为《新的安全威胁：API安全的挑战及应对策略》的演讲中，腾讯技术工程事业群安全专家胡珀分享了腾讯在API安全治理方面的思考和经验。

 

胡珀表示，WEB API本身就是一个CGI公共网关接口，因此API安全一直以来都是WEB安全中的一类，并非是新出现的安全问题。之所以近两年安全行业开始提高对API安全的重视程度，其背后主要存在几点原因：

 

首先，外部黑客紧盯，因为API承载了大量的重要数据和业务，自然会遭到黑客的觊觎；

其次，行业在API安全方面能力普遍沉淀不够，开发人员在编码的时候并没有考虑到API需要特殊对待；

此外，企业内部API安全治理能力没跟上业务发展速度，在企业开始大量的使用API的时候，安全团队还在重点解决防范攻击入侵的安全问题，没有看到API可能给企业带来的攻击敞口；

最后，企业自身的安全机制也存在不足，业内有数据统计，高达75%的企业API甚至没有做过安全测试，包括在做漏洞扫描的时候都没有将API作为风险项进行考虑。

 

具体到API安全治理方面，胡珀介绍了多种思路，包括使用API安全网关通过服务网格治理、在WAF中添加相应的检测规则和逻辑、依托于威胁情报实现对API安全风险的感知以及基于DevSecOps敏捷安全开发来治理API安全风险等。他建议，企业应该结合自身所处的发展阶段来选择具体的解决方案，以更匹配自身企业的技术方式推动API安全建设的落地。

 

 

乐信集团信息安全中心总监刘志诚站在数据安全的视角，带来了以API安全解决数据安全问题的实践分享。刘志诚谈到，API安全实际上是一项在设计过程中保障安全的能力，因此在数据安全方面也可以通过API安全治理来实现数据安全的目的。API广泛存在于数据的整个生命周期中，因此数据因API而敏感。

 

刘志诚认为，解决API带来的数据安全风险，可以从API的认证与鉴权、加密与脱敏、行为分析、行为管控以及审计与追溯等方面着手。防止API引发的敏感数据泄露风险，需要建立起结合预防、检测、响应和管理为一体的API安全能力。

 

他提到，除了相应的认证措施、鉴权、加密和脱敏外，还要具备对API的安全检测能力和预警能力、响应能力，对API中出现的敏感数据，无论其是否存在权限的异常，都要第一时间进行阻断和溯源。同时还应该形成一套API安全管理机制，定期的对API安全风险进行审计和报告，以保证跟踪到所有在API环节上出现的数据安全风险状态整体的可视化。

 

 

永安在线COO邵付东在《API安全管理的更优解：以情报建立API安全基线》的主题演讲中谈到，API在当前成为数据流转的主要通道和基础设施，也形成了新的攻防面，因为每一个API都有可能会成为系统的薄弱点，而API更是承载着业务和数据的安全。永安在线所提出的基于情报的API安全解决方案--永安在线API安全管控平台则可以从API资产梳理，API风险评估以及API风险感知等方面全方位帮助企业从容地应对API安全问题。

他谈到，通过旁路流量分析，能够以持续动态的方式去梳理API资产，做到只要API一上线或开始服务就能够被快速梳理出来，同时还可以掌握到哪些敏感数据是在流动的。而基于情报所能赋予的能力，更是可以保证针对API的攻击被及时发现并阻断，而且精准度很高，而这些特点则进一步形成了该平台在API资产梳理、敏感数据管理、API风险感知、API安全缺陷评估等多方面的能力优势。

邵付东介绍，永安在线API安全管控平台通过情报为业务建立API安全基线，在实际应用中具备误判率低，可用性高的特点，能够做到及时全面感知企业外部API风险的同时，基于精准预警输出的攻击者IOC情报，可以联动WAF或风控系统等快速处置攻击风险，从而帮助企业实现更好的进行API风险识别及阻断。
 

安全419注意到，当前API安全已在业界引起了广泛的关注，本次活动是业内首个聚焦于API安全问题的专业论坛，为业界搭建了一个深度交流和探讨API安全问题的平台，让参与本次论坛的开发人员、架构师、安全人员等群体对API安全风险与应对策略建立了更深度的认知，为下一步各企业治理API安全风险提供了建设目标与方向指引。