API业务防护｜长亭下一代WAF输出4项全新能力

 

API已成为一种新的基础设施！

  新基础设施必然带来新的安全挑战，并且让已经存在的安全问题变得更加复杂。根据Akamai的数据，在针对金融服务业发起的撞库攻击中，高达75%的攻击直接以API为目标。

  以用户API业务防护为导向，雷池（SafeLine）下一代Web应用防火墙，兼具BOT管理与API防护一体，对API进行全生命周期管理，输出API测绘、API防护、API高级威胁分析、API合规四项能力，助力企业客户构建高效的API智能防护体系，动态监控用户异常访问与行为，有效防护API越权，降低因API滥用，敏感数据泄漏而造成的损失。

  “4 Essential Tools for Protecting APIs and Web Applications” 报告指出，Web应用防火墙（WAF）成为API安全防护首要选择：

• WAF可以更好理解应用程序逻辑以及Web应用程序中存在的元素，例如URL，参数甚至使用的cookie；

• 通过监视应用程序的使用情况和行为以及进行深入检查， WAF可以为使用中的每个应用程序建立正常行为的基准；

• 当出现异常时， WAF可以触发操作来保护应用程序，无论是在数据中心还是在云中；

• WAF可以防御恶意请求来源、DDoS攻击、针对API和Web应用程序的复杂威胁，包括SQL注入、 跨站脚本攻击（Cross-site scripting，XSS）、缓冲区溢出、 cookie泄露等；

• WAF同时集成BOT管理和API防护，可检查签名，例如客户端是否发生可疑行为。

以BOT管理为例

  BOT管理与API防护注定是“天生一对”。API逐渐成为企业核心对外接口，使得BOT流量大幅提升。而在API攻击中，BOT又是主要来源。据报告统计显示：在针对API业务发起的各类攻击中，恶意爬虫（BOT）是最主要的攻击方式，占整体攻击数量的90.6%。

API攻击“罪魁祸首”：恶意爬虫

  当利用BOT通过合法帐户进行API滥用已成为API攻击的主流时，传统API网关却日益疲软。此类攻击多以合法身份登录，模拟正常操作，以多源低频请求为主，提供身份认证、权限管控、速率限制、请求内容校验等安全机制的传统API网关，在遇到此类情况时，几乎无用武之地；加之部署与维护成本过高，用户不免会皱下眉头。此时兼具BOT管理与    API防护的硬核WAF，是用户心头好。

  针对客户常见的API业务防护困扰，雷池（SafeLine）提供专项治理。

业务访问逻辑建模，三步解决越权与滥用

  API越权行为与滥用导致数据频频被窃，金融资深安全专家指出业务逻辑安全至关重要。雷池（SafeLine）从客户业务逻辑出发，关联业务和从属API，建立对应关系，当检测到某条API被攻击时，迅速关联到业务，直接对业务提出告警，解决业务逻辑导向的越权行为与滥用防护。

具体来说有3步：

  Step1: 业务建模和行为与流量合规性监控, 记录API的调用权限与滥用攻击。

  Step2: 结合访问规律和访问逻辑, 分析业务相关API调用的越权与滥用行为。

  Step3: 对业务所属API流量进行流量基线建立，并对流量异常进行分析，根源上对针对业务的攻击进行检测、预警与防护。

智学习建立流量画像，不放过任何异常访问

  雷池（SafeLine）采用动态基线和预测分析技术分析异常访问行为，构建流量画像，精准识别操作正常但请求异常的攻击行为，即从正常行为中检测出异常流量。

  进一步，用户可以根据需求选择集群或单网关节点的流量控制，配置 API 的流量阈值，如：每秒、每分、每小时的请求次数限制，当流量超过阈值，新来的请求会被网关拦截，确保业务正常运行。

  随着频率访问控制和告警策略等功能逐步迭代，雷池（SafeLine）业务场景的解决方案越来越成熟，即将满足更多特定业务需求，比如流量控制策略更细粒度、报表统计维度更丰富、API调用明细更精确等。

动态基线技术

  雷池（SafeLine）采用周期性基线分析的方法。周期性基线,通常是一个单周期数据库轮廓线，根据历史数据计算得出。这条曲线由若干数据轮廓点组成,每个轮廓点代表一个采样时点。一个新的实际测量值如果没有超过基线范围，则通过加权平均算法更新旧的轮廓值。如果新的实际测量值超过基线范围则丢弃，不参与新轮廓值计算。如此往复循环，基线始终处于动态变化中。

预测分析技术

  雷池（SafeLine）采用基于时间窗置信区间的检测模型和方法，保障在实际运行中不断自我调整和逼近，自动剔除历史时间窗内的异常历史数据，实现历史时间窗数据与网络实际正常流量行为特征的高度吻合，从而提高了对异常行为报警的准确性。

领先检测能力，下沉至API底层细节

  作为基于智能算法的下一代WAF，雷池（SafeLine）已将攻击拦截性能拉升至全球顶尖水平，当优异的检测能力带进API安全领域，雷池（SafeLine）能通过智能语义分析引擎持续检测API流量中的威胁，针对异常API请求进行阻拦、限速、欺骗或敏感数据打码等相应动作，保护隐藏在 API 中的 SQLi、命令注入等攻击所带来的损失。

  值得一提的是，基于FVM引擎，雷池（SafeLine）可以快速引入对非传统HTTP/HTTPS协议的解析，精细化控制不同风格的API，同时在API层面自由组装和编排雷池（SafeLine）的核心检测能力，让API的防护能力多元化和立体化。

BOT管理与API防护统一解决

  针对多种利用BOT进行攻击的恶意场景，雷池（SafeLine）为客户提供可定制的API防护模型，BOT管理与API防护双管齐下。雷池（SafeLine）在人机验证能力基础上增加包括「动态混淆+动态令牌」在内的动态防护能力，在不影响业务的前提下，对API流量进行有效清洗，排除BOT访问对资源的抢占和消耗，消除风险的同时，节约客户成本和降低业务损失。

  云巴巴严选云一直秉持最严谨的态度，选取品质最高的科技产品。我们与国内外知名科技厂商深度合作，包括腾讯、阿里、华为、眼神科技等等，并获得部分厂商金牌代理权限。面向各行各业B端客户，提供全面的科技服务，助力企业数字化轻松转型。

如果您感兴趣

关注公众号、扫码加入我们的产品交流群

产品交流、问题咨询、特价优惠

都在这里！

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里！