安盛API安全平台_API数据访问异常行为监测系统

安盛API安全平台

安盛 API 安全平台，构建基于 API 的数据及业务安全产品体系。依托全量业务 API 访问数据分析，打造细颗粒度防护体系，实现 API 资产安全治理、访问行为监测审计、数据安全管控等核心功能。达成资产可知、风险可视、行为可查、威胁可管，提供持续监测与处置的闭环解决方案，全面守护移动业务安全、防范业务欺诈。

立即咨询

数字化业务中API广泛存在 icon

· API 是为了实现某个预期功能而定义的一组基础要素集合。这些要素包括：域名、路径、请求方法、参数/数据内容等；
· API是企业核心数字资产，是企业数据、服务输出的核心载体。

API流量激增，成为企业所面临的主要风险 icon

为什么攻击者选择API作为攻击入口？ icon

开放性：API 的是业务对外、对内提供服务的通道，存在于移动端、PC业务以及第三方合作业务中，公开易获取。
价值高：API 承载数据，一旦攻击得手，可直达业务系统后端，批量获取敏感数据。
防御难：API 数量多，并且广泛存在权限控制不严、接口滥用、业务逻辑等漏洞，缺乏专业的应对措施。。

API资产不清晰：
有多少API，分别是什么业务，涉敏API有哪些? API是否被登记，归属于哪个部门管理? API访问量、活跃度情况怎样? 有哪些老旧废弃API仍然在线?
API脆弱性不明：
当前的业务API是否存在漏洞?
安全测试覆盖是否完全，整改是否彻底，API是否带病上线?
API风险未知：
业务访问行为是否正常?
数据交互是否正常?
缺乏管控能力：
要能第一时间发现数据泄漏，最短时间内完成响应处置；要快速完成溯源、分析、定论。

API 所引发的安全问题 icon

攻击者可以利用业务API自身的脆弱性或者各种攻击技术手段，窃取敏感数据或者干扰企业正常的业务流程。

监管对API数据安全的要求 icon

在国家标准层面，我国多部现行及制定中的国家标准针对网络安全、数据安全以及API 安全均提出了要求：

· 《GB/T 39204-2022 信息安全技术关键信息基础设施安全保护要求》中要求细颗粒度业务安全管控

· 《GB/T 42926-2023 金融信息系统网络安全风险评估规范》提出“资产类型、接口安全性”，数据服务接口安全保障机制。

国家标准

《GB/T39204-2022》标准2023年5月1日正式实施，从命名上来看，"“关键信息基础设施”的提法是面向“业务”的，因为基础设施本身都是相似的，是否关键取决于其所承载的业务。关保要求正文中的基本原则--以关键业务为核心的整体防控。因此，首先需要对关键业务相关的资产和信息进行识别，主要包括：

· 业务识别--确定企业的关键业务及其之间的依赖关系；

· 资产识别--确定涉及这些业务的资产；

· 风险识别--确定这些资产上存在的风险。

这个识别过程并非一次性行为，而是需要实时监测，确保所获得的信息始终是实时有效的。以此业务资产为基础，展开后续的各项安全活动。

基于API的数据及业务安全防护思路 icon

API安全涉及面广，企业需统筹规划，避免重复建设，以最小成本实现统一的安全治理。

API资产治理

明晰API资产，识别关键API，

对API脆弱性进行识别和整改。

数据安全

保护企业数据访问(传输、使用、共享)安全，防控拖库、撞库、爬虫等各种自动化攻击及

数据泄露行为。

应用安全

保障业务全应用 (APP/H5/小程序)、全链路 (客户端+服务端) 运行安全。

业务安全

保障企业自有业务安全、第三方合作业务以及各种新兴业务场景下的业务运行安全防控黑灰产及业务欺诈。

基于API的数据及业务安全产品体系 icon

基于全量业务API访问数据分析，构建数据及业务安全细颗粒度防护体系，实现资产可知、风险可视、行为可查、威胁可管。是一套提供持续监测和处置能力的完整闭环解决方案。

方案能力架构

本方案以大数据分析平台为底座，分别从资产纳管--业务建模--风险处置三个方面，解决企业互联网业务，内部业务，第三方业务所面临的数据安全和业务安全问题。

部署及流量接入方式

支持混合云IT架构：自建机房，私有云，公有云等多种环境。

支持多种模式混合部署：交换机镜像，主机镜像(有/无Agent)，反向代理/插件等灵活组合来引流。

加密流量的处理：可定制解密方案获取解密后业务流量。

南北/东西向流量采集：云上业务，可获取VXLAN流量镜像；云原生业务，可在K8s Ingress上部署Agent引|流，或通过Daemonset引流

性能说明

采用分布式多分析节点+统一管理中心架构，实现不同地域、不同网络环境、不同流量规模下的弹性安全部署。

算力指标：
· N*(32C/64G)可支撑 N*2W QPS
性能指标：
· 真实生产环境30w+QPS流量接入
· 查询页面响应时间≤5s
· 全流量存储周期>12个月
可靠性：
· 支持HA，支持集群，支持在线弹性扩容

· 已在线稳定运行1400+天
经济性
· 以容器为最小单位的分布式方案，可根据流量大小灵活分配算力。
· 数据在每个节点完成计算，实时落库，避免跨区传输原始数据造成的高昂专线费用。

预期效果1：API数据资产可视 icon

资产台账：
· 基于业务流量，自动化识别、分析业务API数据资产，深入接口协议、请求方法、请求参数字段内容等；

· 基于识别到的资产，提供二次深度分析能力，集成AI能力，赋予业务、管理属性。

预期效果2：敏感数据及文件可见 icon

· 内置敏感数据识别规则，并可基于国标、行标、企标等监管要求，自动进行数据分类分级，满足企业合规要求；

· 自动识别上传/下载文件接口及文件内容，包括word、pdf、ppt、excel、txt、压缩包、图片等常文件格式。

预期效果3：数据安全风险可知 icon

从访客、时间、数据流转、数据响应等不同维度建立数据泄露风险规则或基线，发现异常数据泄露风险。

预期效果4：数据安全威胁可管 icon

面向不同用户，基于业务中交互的敏感数据内容，实施不同的数据管控策略，如：脱敏、文件水印、网页水印、文件签名。

安全运营能力

技术：以平台的方式为资产识别、风险分析、风险处置提供基础工具；
运营：从人的角度，定义资产、定义业务、分析风险，从设备、IP、用户等不同维度分析不同的场景中涉及到的业务数据安全风险；

管理：从管理的角度对资产的管控、数据的管控、业务的管控、合规的定义、流程的定义提供上层支撑。

方案落地规划路径

指导思路：大规划、小切口，系统性规划，场景化落地。
建设内容：一体化生长型业务数据安全平台，分阶段达成“风险可视，可监测，可防护”的目标，以最低综合成本达成全面业务防护的目标。

阶段1：资产纳管

理清数据资产，排除安全隐患
1、建设内容
API安全治理平台
应用数据审计平台
2、安全能力
API资产识别，弱点分析及整改，敏感数据识别，文件内容识别
3、部署模式
旁路镜像。

阶段2：业务建模

开展业务建模，提升监测预警能力
1、建设内容
数据安全管控平台
数据动态脱敏网关
2、安全能力
数据流转监测，敏感数据识别及监测，业务安全建模，数据安全风险监测
3、部署模式

旁路镜像，或反向代理。

阶段3：风险处置

强化安全运营，实现实时安全防护
1、建设内容
应用数据关联分析系统
2、安全能力
多维数据综合态势感知，数据内容管控，数据访问权限管控，数据安全风险管控
3、部署模式

旁路镜像，或反向代理 (开启防护模式)。

典型场景

API资产安全治理

API资产识别与管理、弱点发现及整改、敏感数据识别、风险识别、资产台账。

数据安全管控

数据脱敏、水印、细粒度安全管控，数据流转，数据防泄漏。

访问行为安全监测及审计

内部员工、外包人员访问业务系统行为审计与溯源分析，账号行为画像。

业务反欺诈

爬虫治理，防薅羊毛，业务风控，可本地或SaaS服务。

移动业务安全监测

全应用-端到端安全监测与威胁处置，终端环境风险识别，分而治之。

应用数据关联分析

多维数据输入，建立整体数据及业务安全态势感知，提供安全预警。

某城商行 - API资产安全治理 icon

需求背景
· 某地方城商行，资产规模超万亿，业务众多，依靠开发团队人工提供资产台账，缺乏API资产管理工具；

· 需要对生产环境所有流量，包括新一代移动门户、微信银行、个人网银、开放平台、智能工单、云工作室等进行资产梳理、弱点发现和整改。
· 补充行方现有态感设备能力，想了解还能发现哪些异常。

建设方案及成效
· 旁路模式部署API安全平台，从TAP上接入所有业务流量；

· 实施过程中，遇到很多非标准化及个性化需求，如：API定义不标准、资产按业务大类进行合并、资产自定义打标签、行方开发部门提供的API资产台账不准确等问题，平台通过策略配置可快速满足，无需定制；

· 工具+人工运营，每月度动态输出全量、准确的API资产；

· 重点监测业务逻辑、爬虫类风险，补齐现有安全产品能力
· 成为行方溯源审计的依据

某股份制银行-移动业务安全监测 icon

需求背景
· 银行业务使用H5页面、小程序数量快速增加，原有的APP威胁监测跟不上需求。客户需要全渠道的安全监测能力以应对金融监管
· 业务上线之后，存在被黑灰产攻击的情况，如薅羊毛、虚假注册等
· 防爬虫。防止公开信息批量爬取，或者利用业务系统的业务漏洞，实现数据的自动化查询爬取。

建设方案及成效
· 全渠道安全监测，满足监管合规要求；

· 前端探针：监测黑灰产常用的攻击手段；

· 服务端流量分析：运用AI及关联分析，监测用户异常访问行为及各种高频自动化访问
· 风控输出：提供OpenAPI接口，给行方风控输出标准的威胁情报风险数据及风险标签数据 (设备ID、用户ID、IP地址、风险评分)

某Top电商-API数据安全 icon

需求背景
· ToC业务流量超大 (日常流量30W+QPS，带宽25G/bps)，业务分布在7个区域、17个节点。

· 关注数据安全，需要留存1年以上的互联网用户访问全流量以及1.5年以上敏感数据，并在发生数据安全问题时可溯源。

· 之前建设的API安全平台无法满足当前大流量下的数据安全需求，也无法支撑统一管理，无法对接威胁情报。

建设方案及成效
· 大规模集群部署，边缘存算，统一策略管理

· 存储采用SSD，RAID 0磁盘阵列模式，保证速度及经济性

· 部署上线交付周期：20天
· 日均处理50亿+次请求，平均查询5秒
· 在线流量规则，实现实时预警；离线风险规则，实现敏感数据溯源分析；
· 业务字段智能分析能力，实现业务特性的精准提取 (订单编号、业务编号、用户注册状态)

某航司 - 业务反欺诈 icon

需求背景
· 航司机票业务，面临业务欺诈风险。“黄牛”通过工具对航司票务网站发起自动化查票、订票，严重影响到航司线上业务的正常开展
· 虚假占座，加价倒卖机票，影响航司口碑
· 虚假查询，影响动态定价
· 恶意查询，浪费航空公司资源
· 出现过用户信息泄露安全事件，缺乏溯源分析手段。

建设方案及成效
· 提供业务反爬系统(代理)+API业务安全平台，分别解决业务安全及数据安全问题。

· 全渠道应用集成JS/SDK探针，识别和管控爬虫异常行为

· 建立多个业务风险模型，进行实时处置

· 阻断恶意爬虫渠道，放行合法渠道爬虫，实现爬虫治理

· 系统上线1个月，查定比降低至 191:1，优于预期效果；

· 溯源出样例数据中包含的票号、身份证、手机号等订单信息及泄露时间、API、渠道信息。

某国有银行 - 应用数据关联分析 icon

需求背景
· 某国有银行，技术能力强，安全工具丰富；

· 各种安全工具都会产生安全风险告警，安全运营人员需要登录不同平台进行数据分析；
· 数据中心部门希望汇聚各安全产品产生的孤岛数据，进行整体数据分析、风险挖掘，搭建安全监测、安全响应和处置整体安全运营体系。

建设方案及成效
· 旁路部署API安全平台，接入多源数据，包括:业务流量、终端风险数据、业务日志数据；
· 基于全量访问数据的格式化留存，实现API参数级的风险挖掘能力及数据分析能力；
· 提供灵活的SQL脚本实时查询能力，可灵活定制各种数据面板进行可视化展示；
· 打通系统与系统之间、业务与业务之间的访问数据壁垒实现数据分析和统计安全全景图。