鑽石舞台

本次活動由永安在線聯合安在新媒體共同舉辦。安在新媒體創始人張耀疆擔任主持，簡單的開場白之後，適時將話筒交給了在場嘉賓。

活動有幸邀請申通地鐵、平安科技、錦江酒店、中通快遞、游昆科技、國金證券、上海證券交易所技術公司、光大證券、安達保險有限公司、找鋼網、美運通、萬事達卡、極兔快遞、中銀證券、匯華理財、得物APP、郵政儲蓄、極豆互聯網、中移智行、吉寶置業、百勝軟件、平安財險、九方智投、蔚來汽車等企業的安全專家參與。

永安在線產品總監黃巍、九方智投產品技術負責人張福明、中銀證券安全運營總監韓景、某互聯網公司網絡安全負責人黃鵬華，四位專家進行了分享。

API安全管理的更優解：以情報建立API安全基線

黃巍 永安在線產品總監

數字化時代，API承載了數據的流動和業務邏輯，已經成為了新的攻防面。事實上，根據威脅情報統計，當前企業90%以上的攻擊事件都與API有關。API的攻防面和現有的安全攻防之間存在比較大的區別，並且現有的解決方案在API安全管理上存在明顯不足，因此如何做好API安全管理，是企業面臨的一個重要挑戰。

永安在線提出了通過旁路流量分析，基於情報實現API安全管理的思路。主要包括對於API資產進行持續動態的梳理，掌握API資產上所承載的涉敏數據的情況；在這之上，基於情報對攻擊進行有效識別，發現攻擊並提取相應特徵，進而聯動WAF、風控，對針對API的攻擊進行阻斷。通過解決方案可以實時感知從API上線，到API服務，最後到API廢棄的過程，發現API安全狀態的變化，持續感知API面臨的缺陷和風險。

永安在線持續挖掘黑產相關情報，情報收集來源包含什麼人，在什麼地方，使用什麼資源，通過什麼手段，最終獲得什麼回報。通過對黑產商業鏈條的持續監控從而獲取攻擊情報、攻擊資源情報、攻擊工具情報，最終形成情報畫像，並將情報數據與API安全管控系統進行實時同步，幫助企業掌控攻防對抗的主動權。

總整體的技術架構圖來看，這套解決方案是基於網絡鏡像流量和情報為基礎，在這之上搭建異常流量清洗、API動態識別、API缺陷評估和API風險發現四大模型，完成包括API動態梳理、API缺陷評估、API風險感知和IOC阻斷的API安全的閉環管理。

永安在線API安全管控系統包含如下關鍵技術。首先是基於圖模型技術實現API資產動態梳理：在API資產發現方面，永安在線通過對鏡像流量的有效清洗解析後，採用圖聚類模型算法完成API資產的歸納提取，在涉敏數據識別方面，永安在線使用正則匹配、數據校驗與NLP技術實現了涉敏數據的精準識別，最終實現了用戶API資產的動態可視化。

其次是基於情報構建API行為基線，發現未知的安全風險。系統可以對攻擊者所使用的惡意通道、惡意數據、惡意工具等信息進行識別，並實時與API風險基線進行結合分析，準確感知API的風險事件。

此外，解決方案可以提煉攻擊者的攻擊特徵IOC，把攻擊信息以API接口的方式實時輸出，與網關、WAF或風控系統進行聯動，實現多點防禦，及時阻斷攻擊流量。針對攻擊IP，提供情報標籤、訪問次數、地域、使用設備等標籤信息，方便安全團隊進行深入的統計分析。

在API資產識別的基礎之上，永安在線提供了賬號資產的識別及相關風險的判定，通過配置規則對用戶的賬號和認證憑證信息進行提取，並與API及涉敏數據進行關聯分析，掌握賬號的訪問行為特徵和訪問數據特徵，實時感知賬號風險事件並及時進行安全處置。

基於API場景的數據安全實踐

張福明 九方智投產品技術負責人

企業之所以要進行API安全建設，是因為目前傳統的安全防護手段主要以邊界式的網絡安全為主，對於API敏感數據安全沒有覆蓋；同時，大部分企業的安全和研發分屬兩個團隊，安全很難接入研發工作，存在API數據泄露和違規訪問的風險；此外，主流的WAF防禦以南北向為主，東西向API防護不足。

與此同時，API安全形勢日益嚴峻，主要呈現危害性大、隱蔽性強、漏洞發生率高、重視度不夠等特點，一旦發生API安全事件，就會伴隨大量的數據泄露和未經授權的訪問。以Facebook此前發生的API安全事件為例，不法分子直接竊取了Facebook的用戶數據「全家桶」，包含全球約5.33億Facebook用戶的手機號碼和其他個人信息，甚至Facebook創始人馬克扎克伯格的電話號碼也未能倖免。

所以，企業必須要重視API安全管理。

九方智投當前API數據安全實踐主要包含四個方面，分別是API制度規範、API監測平台、接口監控可視化以及攻防對抗。

我們制定了超過300頁的API制度規範，對於需求開發、研發里路程、安全介入時機、如何評估上線等方面進行了詳細的闡述，同時對於接口如何處理、如何定義、如何加密、調用鏈路的形態等方面給出了具體的指導。

簡單來說，安全管理=3分技術+7分管理，所以建立API制度規範是API安全管理的必要前提。但隨着時代的發展，我個人認為技術的重要性日益提升，安全管理=5分技術+5分管理，既要重視監管，更要加強技術，文武兼備，才能應對挑戰。

大部分企業並不清楚API資產的數量，並且有時會存在業務下線API依然殘留、調用的情況，數量很多，僅憑人工很難對API的歷史數據和使用情況進行梳理，因此我們打造了API監測平台。

通過「雷達」的能力，對API資產進行梳理，將API的數量、調用、敏感情況梳理出發，發現其中的脆弱性和敏感信息，形成可視化的能力，並進行溯源審計，從而在後續進行相關能力的不足，做好API安全管理。

接口監控可視化的意義在於，基於多維數據的關聯檢測分析，做到預警可視化，實現過程管控、實時分析、秒級響應。我們將所有的雲服務集群放在平台上動態顯示，當某一個節點發生問題，就會觸發報警；API發生訪問問題時，就會標黃異常；安全監控可以重點關注訪問最高的API，顯示每個時間的訪問情況，以及峰值。

我們需要以攻擊者的視角來思考如何針對API展開攻擊，拿到關鍵數據，從攻擊者視角縱深檢測、防守各個環節，將攻擊化整為零，並定期展開攻防演練，以攻促防。這樣做的意義在於，不僅可以提升企業的API安全防護能力，還能夠在這個過程中刷新研發團隊的安全意識，從而形成團隊間的密切配合，避免矛盾。

企業當前正在面臨數字化轉型的關鍵時期，在數字化的背景下，API安防將是一場持續的保衛戰，一輪沒有盡頭的博弈！

企業API的收斂與保護

韓景 中銀證券安全運營總監

近年來，隨着互聯網快速迭代，為了項目能保持高速發展，越來越多的公司開始在新業務的選型上，選擇微服務架構。這種開發框架能夠給企業提供各種各樣的功能，使得快速開發的能力得到了極大的提高。

業界當前對於API安全管理的通用解決方案，首先是通過API安管網關類產品，全流量設備，並配合SOC等工具，形成自動化處置流程，對API安全事件進行自動化報警；其次是要做常規性的滲透測試，並進行日誌監控和AI分析監控，最後還要採取抗DDOS網絡防護。

基於此，中銀證券進行了API安全實踐。

首先對API資產摸排管理，這也是大部分企業API安全當前亟需解決的問題，通過資產摸排，把系統上線時管理員上報的資產，滲透測試時發現的資產，全流量產品監控到的資產進行登記，繼而進行管控。

常規的滲透測試可以幫助企業發現API所使用的的框架、腳本，以及當中可能存在的問題，將其一一登記；並且要逐漸形成自動化的管控方式，建設自動化的SOC處置平台，進行自動化的日誌監控和AI分析監控。最後，通過抗DDOS網絡防護和全流量或產品資產及攻擊監控，做好API安全管理。

強監管下企業數據安全風險管控的思考

黃鵬華 某互聯網公司網絡安全負責人

數據通過流動才能釋放數據要素的生產力，應對數據在流動中對當前的數據安全工作帶來的挑戰，可以從確保組織重視、數據自動識別、數據生命周期視角的安全防護、數據流轉路徑視角的安全防護、隱私計算助力對外數據流通這五個方面入手，形成涵蓋管理、運營、技術的整體思路。

要確保組織重視，首先要確認組織關於數據安全的總體方針和策略，在高管層面形成對數據安全工作重要性的統一認識，設立三層的組織架構。決策層是由高管組成的數據安全管理委員會，負責數據安全工作，制定數據安全的策略和發展規劃；管理層由安全部門組成，根據方針推進具體落地措施，各業務部門的安全接口人協助安全部門傳達數據安全管理要求，並落實相關措施；最後成立審計小組，對工作進行監督，並將情況反饋到決策層。

其次，要在管理制度上確保組織重視，建立四層文件的安全管理制度。第一層是安全方針，制定頂層文件；第二層是管理制度，根據安全方針的要求，做出具體規定；第三層是流程指南，與各類管理制度要求相對應，針對具體落地實施的操作規範、指南等；最後一層是模板、清單，也就是執行過程中產生和使用的過程性文檔。

企業需要知道自己有多少數據，存儲在哪裡，所以需要數據自動識別，主要包括摸底排查和分類分級兩個步驟。前者是為了熟悉業務，了解數據的情況和存放位置；後者是根據摸底排查的初步結果，結合相關法律法規、標準文件要求制定分類分級制度，並進行自動識別。

數據分類的方式主要有三個，分別是用戶數據、業務數據和公司數據。數據分級通常建議分為四級，分別是公開數據（一級）、內部數據（二級）、機密數據（三級）、絕密數據（四級）。

在完成數據識別和分類分級後，就需要保證數據在組織內流通的安全。首先對數據生命周期視角的安全防護，主要在在數據收集、傳輸、處理、存儲、交換、銷毀階段採取安全措施。

針對組織內部，可以建立統一認證和訪問管理服務、統一脫敏服務、統一加解密服務。統一認證和訪問管理採用平台化接入的思路，運用應用網關技術實現單點登錄以及統一權限管控，在實現集中管控同時，還提升用戶的使用體驗。

數據脫敏主要有兩種類型，靜態脫敏和動態脫敏；數據加密有四個層次，依次是介質加密、文件加密、表空間加密、字段加密。統一加密服務可以解決各業務線各自加密帶來的加密標準不一致、密鑰管理不規範、加密方式使用不當等問題。同時還能通過SDK或者網關提供統一加解密服務；集中對性能進行調優；通過IP、用戶、密鑰等緯度進行訪問控制；在防護粒度上做到字段級別的加密；密鑰統一管理，做到密鑰不落地、多級密鑰管理、密鑰備份還原；場景化加密服務，根據業務場景提供不同級別的加密。

第二個保證數據在組織內流通安全的思路是數據流轉路徑視角的安全防護，包括流轉路徑資產梳理、流轉路徑風險識別、流轉路徑審計三個部分。整個過程要形成持久化的安全運營，覆蓋全路徑，避免留下隱患。同時避免對業務形成過大的侵入，在不影響業務的情況下對流轉路徑進行測繪。

目前企業數據流轉多通過API的方式實現，既有對外提供服務的API，也有對內調用的API。數據流轉路徑視角的安全防護一項重要的工作就是對API安全防護。涉及API資產識別、API風險監測和API風險防護三個方面。

而在數據對外流通時候，可以通過隱私計算，保障數據在流通和融合過程中的「可用不可見」。隱私計算主要包括聯邦學習、安全多方計算、機密計算、差分隱私、同態加密五個方面的技術，但該技術還處於快速發展階段，需要持續改進。