高校应用API接口安全监测研究与实践
作者: 李冬阳 韦雨君
摘要:API接口在数字化应用架构中发挥着重要作用,但其开放性和易访问性也使其成为攻击者的主要目标。高校信息化系统广泛使用API接口提供服务,然而传统的安全防护措施难以有效应对针对API接口的隐蔽数据窃取行为。文章提出的API接口安全监测系统基于网络流量解析技术,可自动发现和识别API资产,监测敏感数据访问行为,并及时识别潜在的安全风险。此外,该系统具备数据泄露事件的有效溯源能力,有助于高校提前做好API接口风险防范工作,全面提升数据安全防护水平。
关键词:API接口;数据安全;安全监测;资产发现;风险识别;事件追溯
中图分类号:TP393 文献标识码:A
文章编号:1009-3044(2024)31-0074-03
开放科学(资源服务)标识码(OSID) :
0 引言
应用程序编程接口(API,Application ProgrammingInterface) 是实现不同应用程序间相互通信和数据交换的关键技术。在现代数字化应用架构中,API接口以其可重用、可定制和可扩展的优势,定义了软件系统之间的交互规范、数据结构和通信协议,实现了应用之间更高效、更便捷的耦合[1]。然而,API的开放性和易访问性也使其成为网络攻击的主要目标。2020 年3月,国内某社交平台因用户查询接口被恶意调用,导致5亿用户的手机号数据泄露[2];2023年1月,国外某电信巨头因API未授权访问漏洞被黑客利用,致使3 700万用户的敏感信息遭窃取。大量个人信息泄露不仅侵犯了个人隐私权,还可能导致财产损失、身份被盗用和诈骗等一系列问题。根据《2022年Web安全观察报告》统计,2022年针对API的攻击在网宿CDN 平台上的占比首次突破50%,达到58.4%,API已成为灰黑产攻击的头号目标[3]。
随着高校数字化转型逐步进入成熟期,信息系统广泛应用于教学、科研、学工、人事和财务等多个关键领域,覆盖教师、学生和工勤等校内各类用户,包含大量师生个人信息。这些信息系统通常部署于学校数据中心,各类信息系统之间的数据共享和对外服务均依托于API接口,且启用了防火墙和态势感知等网络安全设备进行防护。然而,防火墙等传统网络安全防护设备难以监测和防护应用系统API接口的使用情况,在应对攻击者利用API接口隐蔽窃取数据时往往力不从心。北京某高校毕业生盗取学校部分学生个人信息建立颜值打分网站[4],南昌某高校3万余条师生个人信息在境外互联网被公开售卖[5]等教育数据泄露事件,造成了严重的社会影响,为高校的数据安全问题敲响了警钟。
本文主要分析了API接口面临的安全风险现状,探讨API接口安全监测系统应具备的技术能力,并以高校应用场景为例,总结API接口安全监测系统在高校的建设路径和实践成果。高校部署API接口安全监测系统,可加强资产和风险管理,有助于提升学校数据安全风险监测能力,保障高校数据安全。
1 API 接口面临的风险分析
开放式Web应用程序安全项目(OWASP) 发布的API安全Top10风险清单[6]揭示了API接口面临的主要安全风险,包括对象级别的授权失效和用户身份认证失效等,如表1所示。
攻击者可利用重放攻击、注入攻击、参数篡改、分布式拒绝服务(DDoS) 攻击和中间人攻击等多种手段攻击API接口。API接口攻击不仅可消耗系统资源和中断业务服务,还能对API接口实施逆向分析,通过构造请求参数窃取敏感信息[7]。以下因素导致API接口成为网络攻击者的主要攻击目标。
1) 攻击成本低。API接口直接对外暴露并提供服务和数据,攻击者只须获取API的接口地址,即可通过简单的网络请求实施攻击行为。相较于攻击整个网站系统,攻击API接口显著降低了技术门槛和时间成本。
2) 请求参数易修改。攻击者通过篡改API接口的请求参数,结合其他关联信息,既可利用注入等漏洞获取系统的账号权限,又可利用越权等漏洞获取正常权限以外的数据。
3) 宽松的跨源资源共享(CORS) 策略。宽松的CORS 策略意味着API 接口允许超出必要范围的源(例如协议、域和端口)发出访问请求。过于宽松的策略使攻击者能够从不受信任的源发起访问,增加了实施跨站脚本攻击等攻击的可能性。
4) API接口安全性参差不齐。在敏捷开发框架的推动下,应用系统迭代速度显著提升,但开发人员的编码水平、应用框架的安全性能和API接口的管理质量等因素存在差异,导致API接口在安全性上的参差不齐。
2 API 接口安全监测主要技术能力
API接口安全监测基于网络流量解析技术,可梳理业务应用和接口资产,监测敏感数据访问行为并及时识别潜在的安全风险,实现数据泄露事件的有效溯源。围绕实现资产全面梳理、威胁全面监测和风险全面可视的监测审计功能,API接口安全监测系统应具备以下技术能力。
2.1 流量采集解析能力
API接口安全监测首先须具备网络流量采集能力。网络流量采集通常通过在网络设备上进行流量镜像,或在目标服务器上部署Agent插件实现。由于API接口通常基于HTTP和HTTPS等应用层协议提供服务,为获取API接口具体报文信息,流量采集模块须具备多种应用层协议解析能力。通过解析流量,全面记录API接口的请求报文和返回报文,包括事件、URL、请求方法、传输协议、User-Agent、Cookie、源IP 和响应状态码等,支持多种数据格式和文件格式内容的解析。
2.2 资产发现能力
资产发现能力主要包括自动发现存在的应用、API接口及敏感数据等资产信息。该能力通过预设规则,识别API接口交互过程中存在的姓名、身份证号和联系方式等敏感数据。资产发现可全面梳理敏感数据,定位相关数据所属的应用资产,并根据数据的流向和应用特性对应用资产进行分类和标识。通过可视化技术展示敏感数据的使用和分布情况,便于用户迅速识别潜在的安全风险接口和敏感数据泄漏点,追踪敏感数据的访问流向。
2.3 风险识别能力
风险识别是根据既定策略实现安全风险自动检测并形成风险清单的过程。通过分析安全风险清单,可及时发现并处置存在的安全隐患。API接口安全风险主要关注数据泄露风险和接口脆弱性两类。
数据泄露风险识别是根据敏感数据泄露风险规则,基于日常行为基线模型,分析和识别数据泄露潜在风险的过程。该能力主要利用人工智能和大数据技术,围绕应用访问的相关信息进行自动化分析,形成正常行为特征,并计算发现偏离正常行为特征的事件,进行风险预警。接口脆弱性识别是通过配置特定的脆弱性匹配规则,自动识别触发规则的API接口。其主要采用分析API接口的请求和返回报文参数、协议规范以及身份验证等信息的方式,利用统计比对、黑白名单等技术手段,发现接口存在的脆弱性问题。常见的接口脆弱性问题包括密码泄露、未授权访问、SQL注入、参数可遍历、敏感数据未脱敏、文件目录暴露和文件上传漏洞等。
2.4 风险事件追踪溯源能力
API安全监测系统保存API接口的全量历史访问记录,可通过检索历史记录对数据泄露的风险事件进行追踪溯源。当数据泄露事件发生时,通过检索历史记录,分析可疑接口、账户和IP地址,从而辅助追踪事件源头并提供原始证据链条。
2.5 可视化分析能力
可视化分析是API接口安全监测中的关键工具,是落实API接口安全管理的重要依据。通过多维度的数据统计和报表,针对已知风险和脆弱点,可提供等级占比、类型分布和规则统计等多条件检索与分析。可视化分析通过应用、接口、账号和IP等行为画像,实现敏感数据行为的全程记录和可追溯。利用可视化大屏呈现安全监测分析的数据结果,带来全方位的数据可视化管理,以最直观的方式展现数据价值。
3 高校应用API 接口安全监测实践探索
3.1 高校应用API 接口问题现状
近年来,随着高校数据中台的建设和应用,API接口的使用场景日益广泛。API接口既可以为用户提供服务和数据,还可以为不同应用系统实现数据共享交换,已成为数据传输的主要方式,其安全防护的重要性不容忽视[8]。高校应用API 接口安全面临以下挑战。
1) API接口资产缺乏统一管理。高校应用系统和API接口数量不断增加,导致其资产管理变得越来越困难。部分应用系统的API接口可能会因版本更新或业务终止而过时,但仍然保留在生产环境中而成为僵尸资产或影子资产。这无疑会成为网络安全的管理盲区,进一步增加了安全隐患。
2) 个人信息使用缺乏管控。高校应用系统存储了大量师生的个人信息,若缺乏有效的管控措施,可能会导致个人信息滥用的情况。因此,API接口在设计时应当遵循最小化原则,仅返回业务必要的个人信息。对于个人敏感信息,应进行脱敏处理,以确保信息使用过程中的安全性。
3) 应用系统安全水平不高。高校的应用系统大部分是以采购定制开发软件为主,不同的系统分别来源于不同的供应商。由于软件供应商开发水平参差不齐,可能导致上线运行的应用系统存在可利用的安全漏洞。近年来,供应链攻击已成为网络攻防中暴露出的显著问题。
3.2 API 接口安全监测系统部署
通过流量镜像的方式获取数据中心的全部访问流量;对于无法获取镜像流量的服务器,可采用安装Agent插件的方式进行采集。其部署架构如图1所示。
通过分析HTTP流量,系统可自动识别学校应用资产及其API接口的使用情况,并通过人工核实和资源目录管理,实现对应用资产及其API接口的全面管理。系统还能根据流量访问情况,发现访问量低的僵尸应用资产,有助于进一步加强管理。利用内置规则库,可全面监测应用系统存在的漏洞、配置缺陷和弱口令等情况,提供多维度的监测报告与修复建议,及时发现并修复潜在风险。
3.3 API 接口安全监测实践效果
高校通过部署API接口安全监测系统,监测审计应用API 接口的访问使用情况,以期达到以下安全效果。
1) 应用资产全面掌握,防护重要敏感资产。通过对学校应用系统使用的数据字段进行梳理分析,结合数据分类分级规则,使系统管理员掌握系统敏感数据的分布情况,了解系统中哪些API接口存在潜在安全风险,哪些API接口会流出敏感数据,从而有针对性地开展重点关注和防护。
2) 安全风险全面感知,降低数据泄露风险。通过对接口访问记录的统计分析和自学习,建立访问基线模型。利用基线模型识别应用、用户等主体正常的敏感数据操作行为,精准定位敏感数据风险操作,自动分析并判断风险级别,及时发出预警,将数据泄露风险遏制于萌芽阶段,减少敏感信息泄露造成的损失。
3) 应用接口全面体检,加强系统安全能力。通过对应用下的大量不同类型API接口进行全面脆弱性检测,发现存在安全隐患的脆弱性接口,找出最易发生安全问题的暴露面。及时处置发现的问题,有效预防敏感数据泄露,提高系统安全防护能力。
4) 数据泄露有迹可循,快速定位事件来源。针对已发生的数据泄露事件,结合多种条件检索和多重钻取分析,从多个维度开展深度分析,追溯事件来源,分析事件的疑似责任主体,为事件追责提供范围界定,并提供原始证据链条。
5) 数据使用逐步规范,提升数据安全水平。随着《数据安全法》《个人信息保护法》的颁布施行,数据使用面临着刚性的合规要求。通过API接口监测对数据使用进行监测预警,不仅确保满足法规要求,同时可增强风险感知和规避能力,有效提升学校数据安全防护水平。
4 结束语
综上所述,API接口安全监测系统可识别API接口使用过程中存在的各类安全隐患,在应用系统安全防护中发挥重要作用。目前,大部分高校的数据安全技术防护体系仍处于初步建设阶段,对数据使用情况掌握不足,面临较大安全风险。本文提出的高校API 接口安全监测系统建设方案,有助于高校做好资产梳理和风险识别,既可提前做好风险防范工作,防患于未然,又能提高应用系统API接口的安全性,降低数据泄露风险。
未来,在做好资产识别和风险监测的基础上,将进一步开展高校数据保护和风险响应处置相关研究工作。高校通过风险识别、安全保护、安全检测、安全响应和处置的能力建设,可实现数据全生命周期保护和风险闭环管理,全面提升数据安全防护能力。
参考文献:
[1] 汤其宇,陈昌杰,王士勇.医院网络环境中API接口的安全性问题与对策探讨[J].中国数字医学,2024,19(6):115-120.
[2] 万小博.信息系统常见数据泄露原因及应对策略分析[J].电子技术与软件工程,2022(9):13-16.
[3] 网宿安全2022年Web安全观察报告:API成头号攻击目标,DDoS、Bot攻击倍增[J].中国信息安全,2023(7):108.
[4] 赵雨萌.人大毕业生泄露学生信息被刑拘,曾有机会使用高权限账号[EB/OL].[2023-10-20].https://www.inewsweek.cn/so⁃ciety/2023-07-04/19058.shtml.
[5] 南昌网警巡查执法.罚款80万元!抓获3人!南昌某高校发生数据泄露案件[EB/OL].[2023-10-20].https://jiangxi.jxnews.com.cn/system/2023/08/17/020188366.shtml.
[6] OWASP API Security Top 10[EB/OL]. [2024-03-02]. https://owasp.org/API-Security/editions/2023/en/0x00-header/.
[7] 中国信息通信研究院.应用程序接口(API)数据安全研究报告(2020年)[R].北京:信通院,2020.
[8] 顾怡.基于零信任的高校数据安全实践与研究[J].网络安全技术与应用,2024(8):80-83.
【通联编辑:谢媛媛】