API经济时代已来临,API已成为业务核心,但API安全风险日益严峻。关键数据表明,80%的业务使用API,每个机构平均使用3300个API,API攻击量月均超25万,45%的数据泄露来自API和Web应用。金融行业2022年Q1数据泄露事件占比高达40.25%,其中证券、银行、保险等领域受影响严重。
传统应用与现代API应用的架构存在显著差异,API安全防护需采用新的理念和方法。以OpenAPI规范文件(OAS)为核心,实现API安全治理成为关键。OAS文件作为前后端开发人员沟通的纽带,支持标准化规范开发、自动化测试和防护。
先进安全理念建议以OAS为核心,贯穿API开发、测试和生产运维全过程:
- 开发阶段:定义OAS文件,进行规范检查,利用Imperva工具生成OAS文件。
- 测试阶段:导入OAS文件生成自动化测试脚本,进行模糊测试和渗透测试。
- 运维阶段:持续监控API,梳理敏感API,利用OAS建立白名单安全模型,导入WAFGW进行安全控制。
核心实践包括:
- API规范检查:在API设计阶段采用OAS规范开发,利用工具发现潜在问题。
- API发现:全面监控所有API及其Schema,发现隐藏的API。
- 白名单安全模型:基于业务API白名单严格监控API滥用和OWASP API Top 10安全问题。
- 自动化测试和黑盒测试:利用OAS生成自动化测试脚本,进行模糊测试和渗透测试。
- API治理:定义敏感数据类型,发现包含敏感数据的API接口。
- 集成API安全到DevOps:持续了解应用变化,提供运行保护,提前避免安全bug。
API安全需涉及研发、运维和安全团队,统一语言,消除障碍,实现自动化测试和防护。
