媒体专访 | 邵付东:API安全核心是实现API资产可视、攻击可知
本周,永安在线COO邵付东接受了安全419的独家专访,谈及了此次《API安全建设白皮书》发布初衷,以及企业 API 安全建设难点,正确的 API 建设路径等诸多问题。
邵付东表示,鉴于 API 安全本身的重要性,以及近些年来因 API 保护不当所引起的诸多安全事件,这需要企业能够系统地去解决 API 安全问题。
该白皮书指出,API 是数据交互最重要的传输方式之一,也因此成为攻击者窃取数据的重点攻击对象。
所以白皮书在梳理 API 面临的主要安全问题时,也首次提及了来自监管合规方面的挑战。
邵付东告诉安全419,金融行业有明确的 API 安全建设标准(金融行业标准 JR/T 0185-2020《商业银行应用程序接口安全管理规范》),但整体来看,各行业在 API 的安全防护上还是比较薄弱的。
在谈及企业在进行 API 安全建设时存在的难点时,邵付东从多方面的经验梳理总结了以下两点见解:
第一,大部分企业客户优先考虑的是业务快速迭代发展,安全随着业务的发展才会慢慢被重视;
白皮书曾对 API 的重要性做出如下总结:
从本质上讲,API 暴露了应用程序的逻辑和敏感数据,如个人身份信息,正因如此,API 越来越多地成为攻击者的完美目标。
在谈及企业有效的 API 安全建设路径时,邵付东先是阐述了企业安全建设的本质问题,他指出,企业遵循业务优先是企业生存的前提,“如果业务都没有了,那还谈什么安全。
最终落实到 API 安全建设路径方面,邵付东认为首先在业务优先的基础上,企业需要对上线的 API 进行整体地梳理,要务是实现对所有 API 资产的可视,再进行持续的 API 漏洞评估和及时感知 API 攻击风险,实现 API 风险的可控。
邵付东解释称,做好以上提到的 API 上线后的安全建设,企业可以及时了解 API 资产变化情况,解决全量 API 安全可见性问题。
“通过对 API 上线过程问题和隐患的发现梳理,将其视为企业 API 全生命周期安全建设的核心和起步点,同时这部分工作还可以作为企业 API 安全左移过程中重要的参考依据,从目标感中获取解决具体问题的方法来构建整体 API 安全,我认为,这将会令 API 全生命周期安全建设更加有的放矢。
“全生命周期”最近几年经常出现在网络安全领域,比如在数据安全领域,其全生命周期泛指数据的采集、传输、存储、共享、使用、销毁等阶段,每一个阶段均通过一定的安全措施做到安全可控。
邵付东称,永安在线之所以在 API 安全领域提出全生命周期安全防护概念,更多的是想表达对 API 安全管理的一种愿景,即企业用户也可以将 API 以资产的视角进行管理,其意义在于更便于企业用户通过整体的方法进行思考,从而关注其整体的生产效率和安全问题。
据邵付东进一步介绍,其提出的 API 全生命周期安全防护模型一方面源于永安在线长期在业务安全上的实践,同时也源于客户一侧对 API 安全的实际需求总结,即总体来自用户侧 API 安全真实需求且基于业务的方法梳理。
正如白皮书指出的那样,针对 API 存在威胁防护,使用 WAF 类产品只能覆盖其中的一小部分威胁,对业务而言,从单点考虑 API 功能安全设计到通过对 API 生命周期来考虑 API 的安全,围绕设计、开发、测试、 上线运行、迭代到下线的每一个环节加强安全建设更加必要。
在采访中,邵付东列举了一些企业客户进行 API 安全建设的具体实践及过程中所面临的困境,而白皮书在其第三章节的“API 全生命周期安全防护”具体内容则呼应了这部分内容,白皮书梳理的 API 全生命周期安全防护不同阶段的具体能力建设,均具体到了方法论和具体的安全实践工具。
​