2022年7月31日-8月1日,InfoQ中国主办的综合性技术盛会QCon全球软件开发大会于广州召开,50+国内外资深技术大咖带来涉及14个热门领域的重磅议题分享。在第二天的“业务安全与风控”专场上,永安在线CEO毕裕作为出品人,携手业内经验丰富的业务安全专家为大家带来了一场干货满满的议题分享。

作为业务安全领域的先行者,永安在线基于数年业务风险强对抗经验,丰富的情报资源及技术的积累,沉淀出以业务安全情报为核心驱动的业务安全解决方案,以情报为驱动与风控机制相交互,帮助企业风控系统发现风险盲区,不断优化风控规则,提升企业风控有效性。

毕裕提到,永安在线在全网部署了数千个蜜罐,目前已具备每日近亿的情报收集、运营能力和实时更新能力,通过提供情报服务、赋能API安全产品、开源等形式,帮助企业提升风控攻防效率和数据安全防护能力,保障企业在线业务健康发展。


此次大会上,永安在线COO邵付东也受邀参加并带来《从API视角看业务安全》的主题演讲

邵付东在大会上表示,在信息化时代,企业在面对数字化转型挑战的同时也面临着更多的业务风险挑战,比如数据泄露、薅羊毛团伙攻击等安全事件,产生这些风险的源头则来自于API接口存在缺陷,因此,API作为业务逻辑的边界入口,已经成为了企业保障业务安全的重要一环。

他表示,当前API安全管理也面临着资产未知、缺陷未知和攻击未知三大挑战,因此,API的安全防护也需要基于API构建业务边界安全,打造纵深防御体系,以情报构建API全生命周期的安全防护模型,从资产梳理、缺陷检测、攻击检测三方面入手。


API是业务逻辑的边界入口,

是企业保障业务安全的重要防线



在数字经济的大时代下,产业数字化和数字产业化的不断深化演进,企业在业务扩张的同时也面临着越来越多的业务安全挑战。在企业加速拥抱数字化的过程中,数据连接着用户和经营系统,风控成为企业经营的最大风险和不确定性,一旦业务风控出现漏洞,将给企业经营带来不可估量的损失。

而API作为业务逻辑和数据流动的访问边界,成为企业发生数据风险和业务风险的主要攻击入口,因此,保障企业的业务安全,需要从API安全防护开始入手。


会上,邵付东分享了因API防护不到位而导致被攻击以及数据泄露的安全案例,他提到许多企业由于API存在设计缺陷,攻击门槛较低,被攻击者利用大量IP低频撞库因API接口安全缺陷导致业务数据被爬取的安全事件也屡见不鲜,攻击者利用政务和企业数字化转型过程中应用系统API的安全缺陷,借助海量代理IP资源,爬取大量的公民个人隐私信息,涉及婚育、社保、疫苗、车辆等信息,造成企业和用户个人的权益严重受损。

邵付东也提到目前一些企业的风控已经跟不上薅羊毛团伙的攻防节奏,永安在线在针对某数字化转型客户的监测中发现,在3个月的时间,攻击者对其20多个API发起了薅羊毛的攻击。由于黑产产业链组织和分工细致,从业人员超过150万人,导致攻防不对等,并且目前市面上现有的数据安全相关产品,主要是针对内部威胁和数据本身的防护,未完全覆盖API数据安全风险场景。

邵付东还在大会上对当前API安全管理所面临的三大挑战进行了总结,分别是:

  • 资产未知

有哪些API?有哪些敏感数据被访问?有哪些账号和IP在访问呢?

  • 缺陷未知

有哪些API存在缺陷?哪些API设计不安全?哪些站点和组件配置有缺陷?

  • 攻击未知

有什么API被攻击?有什么账号访问异常?有什么攻击来源?

付东进一步解释,API安全面临的三大挑战主要是由于企业的业务系统API每天都在发生变更,而这些攻击流量都隐藏在正常的业务流量中,不易于发觉,并且很多企业并没有配备充足的API安全人员。面对这些未知的挑战和存在的问题,让许多企业不知道该如何采取有针对性的安全策略进行防护。


基于API构建业务边界安全,

打造纵深防御体系




针对这些痛点,邵付东也总结了永安在线的解决方案,即基于API构建业务边界安全,打造从终端到后端的纵深防御体系,以情报构建API全生命周期的安全防护模型,打造出一套可准确感知风险、可解释风险、可阻断风险、能溯源打击、运营成本低的API数据安全管控方案。他认为主要从以下三个方面进行安全防护:

1. 资产梳理


邵付东指出,由于API增速很快,很多企业对API开放的数量、API的活跃状况、僵尸API、影子API等安全风险情况还不够了解。他认为,安全可控的前提是需要对资产进行梳理,从不可知到全面可见,全面梳理API资产、清理影子API,对API可视化和风险分析,及时感知攻击面是实现API安全的基础

永安在线情报监测平台能够实时全面地对账号进行梳理和监测,及时掌握账号风险动态。基于该平台,可持续动态梳理访问账号,记录账号访问行为,从时间、环境、API访问基线等多维度检测账号异常行为。

2. 缺陷检测


永安在线API管控平台可基于代理蜜罐情报对动态流量进行跟踪分析,持续迭代优化API漏洞检测引擎,覆盖业务API的逻辑漏洞以及开源系统API的未授权漏洞。

在API资产和数据资产可见的基础之上,对API在设计和开发方面存在的缺陷进行检测。检测API在认证、授权、数据暴露、输入检查、安全配置方面是否存在缺陷可供攻击者来利用。针对数据安全方面的设计缺陷,对关键数据未脱敏、返回数据过多、敏感数据伪脱敏等漏洞进行检测,并能及时对以上缺陷进行修复。

3. 攻击检测


邵付东在会上还指出,资产越重要,攻防对抗就会越剧烈,数据成为数字化时代的生产要素,数据资产价值越高,围绕数据资产的攻击就会越来越剧烈攻击者利用大量的动态代理IP,伪装成正常的请求流量,对企业的敏感数据API进行低频慢速的爬取,或者买通企业内部人员,利用内部运营系统的特权批量查询敏感数据。

永安在线能够基于攻击者使用的攻击资源如攻击IP、工具、账号、行为等风险情报,构建API访问的行为基线,利用机器学习检测API访问序列中的异常行为,及时告警撞库、扫号、数据爬取、账号爆破、漏洞扫描等攻击风险。通过情报分析攻击者攻击的渠道和手法,提炼攻击特征,配合企业风控系统阻断攻击流量,从而为企业提供针对性的防御建议。



近年来,永安在线从黑产团伙、攻击技术、攻击流量等多维度构建业务安全情报体系,利用自研Karma威胁情报搜索引擎,建立了对黑灰产的开源情报收集,同时根据全球蜜罐网络恶意流量监测,捕获的攻击行为等信息建立闭源情报。

这两者结合建立起的业务风险监控体系,匹配丰富的黑灰产攻防经验,帮助企业解决账号安全、营销反欺诈、流量欺诈、接口安全等业务欺诈问题,为企业风控提升攻防效率,赋能企业在线业务健康发展。