当前,API处于数字化体验的中心,移动应用、WEB网站的核心功能、微服务架构等,均离不开API的支持。但随着API的广泛运用,API成为了当前数据泄露的主要渠道之一。在此背景下,已充分数字化并对数据高度敏感的消费金融企业,更亟需针对性的API安全管控体系来确保业务安全合规。 

 

近日,“年轻人的互联网钱包”——小花钱包与永安在线达成合作,将应用永安在线API安全管控平台实现从API资产管理、API风险感知到API风险防御的全链条防控闭环用纵深、全面的安全防控体系确保在线交易和数据安全,提前消除API带来的潜在安全威胁。 

 

业务发展的背后是API不断开放

精细化智能管控API成为必选项

 

自2015年成立以来,小花钱包的业务迅猛发展,不断拓展的业务线以及服务体验的持续增强,让业务服务端逐步从单一的APP端,发展至小程序、公众号以及各种H5落地页。同时,也对合作伙伴开放了更多的API接口。 

 

因此在API安全侧形成了两个新需求。 

 

一方面,是对API自动化统一盘点和涉敏API分层管理的需求。日益增加的业务线导致服务端目前开放了数千个API,当前安全团队规模有限,仅能对目前的业务API进行有效的分析和整理。但随着未来业务的发展,累积的API数量将更为庞大,难以再依赖人工进行准确的盘点和管理。尤其是对携带了敏感信息的API,在数据使用追踪上需要深度管控,要能清楚的知道它去了哪里,用来干嘛。 

 

另一方面,是对未知的API风险感知及预警的需求。目前网络攻击逐步从过去的黑客利用漏洞,扫描等方式进行攻击,逐步转向黑灰产利用正常业务接口进行撞库攻击、数据窃取等。因此,及时预警各业务遭受的攻击,并对风险进行及时阻断是保障业务安全稳定运行和数据安全的基础。 

 

永安在线API安全管控平台 

解决API全生命周期面临的风险和挑战

 

根据小花钱包的需求,永安在线依托对API风险管控的长期研究,并以行业领先的黑灰产情报能力和攻防技术为基础,为小花钱包提供了从API的资产发现、风险感知到攻击防护的全闭环API安全管控平台,旨在帮助其解决API从上线、服务到废弃的全生命周期会面临的各种安全风险与挑战,为小花钱包的业务健康发展保驾护航。

 

//全自动化实现API资产发现与涉敏API检测

 

通过全流量数据接入和分析,使用先进的图模型技术,自动化对API流量日志中的请求进行路径转义归类,不依赖业务配置,自动地发现业务潜在的API接口,并进行梳理、盘点,通过清晰的API可视化展示方式帮助安全部门了解API资产现状,实时感知每个API接口的访问情况,并进行管控。 

 

此外,可实现自动化检测API传输中的数据涉敏情况,帮助业务部门进行有针对性的保护。系统内置多种常见敏感数据类型,数十种各行业常用敏感数据类型,包括姓名、身份证、手机号、银行卡等,并支持业务方动态自定义敏感字段的检测要求。 

 

//基于情报,精准发现业务API的未知风险

 

结合永安在线长期运营建立起的丰富业务风险黑产情报库,包含针对小花钱包存在的外部自动化攻击工具情报、IP威胁情报、交易情报等,能实时识别出海量业务流量中的风险流量,并在特定的条件下进行业务风险预警,帮助安全团队能够对业务风险进行全面的感知。 

 

//采用动态对抗策略,达成API风险阻断 

 

在API风险阻断能力上,平台采用动态对抗策略,通过动态令牌、动态混淆、动态加密等方式自动化对抗API破解行为,全面加强API安全性,提高自动化攻击作恶成本,有效阻断黑灰产通过直接调用API的方式批量发起攻击。 

 

落地成效

 

目前,通过永安在线API安全管控平台,小花钱包已可快速自动地发现业务潜在的未知API接口,并且针对发现的API接口进行综合评估,形成了非涉敏、涉敏API的分层管理和数据调用追踪,建立起全局视角分析、管控API。同时,自动预警数起某接口未鉴权事件,帮助安全人员准确及时进行修复,避免了用户投诉,也及时防止资金受到不必要的损失。