RSA 2019 创新沙盒 | Salt Security:探测与防御API攻击的解决方案及平台

Salt Security是一家起源于以色列的安全服务公司,公司于2016年成立,总部设在硅谷和以色列,创始人有以色列国防军校友、网络安全领域专家等。该公司致力于为软件即服务(SaaS)平台、Web平台、移动端、微服务和物联网应用程序的核心API提供保护解决方案。该公司现已推出业界首个探测与防御API攻击的解决方案,以确保SaaS、Web、移动端、微服务以及物联网应用的安全。

背景介绍

随着互联网应用的多元化复杂化,应用服务化成为显著的趋势,越来越多场景中的应用架构中采用应用编程接口(API)作为应用间数据传输和控制流程。同时API接口负责传输数据的数据量以及敏感性也在增加。因此针对API的攻击已经变得越来越频繁和复杂,成为当今不少公司的头号安全威胁。在过去的几年时间里,市场上已经看到了API面临的风险和攻击的巨大增长,不仅出现了FaceBook、T-Mobile等公司的API违规事件,也出现了美国邮政服务(USPS)和Google+的最新漏洞泄露事件。

Gartner预测到2022年,API攻击会成为导致企业应用程序数据泄露的最常见的攻击。云安全联盟(CSA)在2018年将不安全的API列为云计算面临的第三大威胁。开放Web应用程序安全项目(OWASP)在最新的报告中表示API安全性是一个重要关注点,其报告中披露的十大漏洞中有9个与API组件相关。

API是架构师设计,并由开发者实现,每个API都是唯一的,具有各自的逻辑,因而产生的漏洞也没有统一的模式。目前传统API安全解决方案仅关注已知的攻击类型,缺乏对API的细粒度理解,忽略针对API逻辑的攻击。例如,某些API的业务逻辑是访问应用程序和敏感数据,如果攻击者针对逻辑层面的漏洞进行攻击,绕过传统防护方案。例如,攻击者可以合法身份的用户访问API,这些用户采用不易觉察的手段,在侦查阶段探测每个API以寻找到API中的漏洞。

产品介绍

2018年Salt Security推出了业界首个探测与防御API攻击的解决方案,以确保SaaS、Web、移动端、微服务和物联网等应用的安全。Salt Security的API安全防护平台能够在攻击者成功入侵关键业务应用程序和窃取敏感数据之前,检测并阻断威胁。

Salt Security的API防护平台分三个阶段运行:

检测阶段:Salt Security防护平台会自动并持续的监控环境中所有API,当环境发生变化时防护平台通过自动探测捕获到API的变化,以便后续分析API背后的风险。通过洞察API环境中流动的数据来识别其中的敏感数据,便于评估敏感数据潜在的暴露风险。防护平台跟踪并验证API更新后的最新状态,确认所有的API都满足安全需求。

防护阶段:Salt Security防护平台不仅对安全堆栈中现有的漏洞进行检测,而且能针对API逻辑攻击提供实时保护机制。防护平台使用人工智能(AI)技术和大数据技术,基于API的细粒度合法行为建立API正常行为基线,实时对API行为进行监控,一旦检测到API活动中出现偏离基线的行为即作为可疑恶意行为进行API攻击行为评估,该API防护平台可以在攻击者的侦察阶段实时防止API攻击的发生。

补救阶段:通过防护阶段对攻击者行为的快速评估结果,补救阶段自动化相应威胁并对攻击者的恶意活动进行阻断。为了向安全团队提供有价值的情报,防护平台向开发人员提供API源代码相关漏洞信息,以便从根源上阻止API攻击进而提高API安全性。

下图是API防护平台经过三个阶段为安全人员提供的API攻击行为信息。

公司联合创始人兼首席执行官Roey Eliyahu表示“传统的API安全解决方案无法检测到最新的API攻击,但通过应用人工智能和大数据技术,我们的API安全解决方案可以在API攻击成功之前识别并阻止攻击者。”

产品特点

  1. Salt Security的API防护平台基于人工智能和大数据技术,不需要通过配置的方式创建基线也不依赖于签名技术,而是通过不断的学习API行为来建立API细粒度正常行为基线,学习算法随着API的更新而发生变化,因此能够检测到针对API逻辑的攻击,而传统API安全解决方案无法检测。
  2. Salt Security的API防护平台具备容易部署以及适用性普遍的优势。API防护平台只需几分钟即可完成部署,无需配置或自定义即可帮助保护应用程序并改善API防护等级。Salt Security 的API防护平台可用于SaaS平台或混合部署,适用于需要本地数据处理的情况。
  3. Salt Security的API防护平台为安全团队提供最有价值的API安全信息。防护方案利用平台产生的警报来关联攻击者活动并与攻击者所有事件进行组合,挖掘出一系列恶意API调用,大大减少了误报的生成。为了便于安全团队查看和了解攻击过程中的具体情况,API防护平台提供整合过的时间表,其中包含攻击者活动的详细信息。

目前许多企业客户已经部署了Salt Security的API防护平台,合作伙伴包括亚马逊AWS、谷歌Cloud平台、微软Azure等明星公司。Salt Security API防护平台在未来能够持续的针对企业的业务增长以及差异化提供最新的API安全防护。

总结

随着云计算的发展,越来越多的企业将服务或能力以API的方式呈现,API成为连接互联网商业生态的重要环节。对于普通用户来说API只是他们所使用的服务,但对于企业而言API在数据交换的过程具有重要的商业价值,一旦API服务在数据交换过程中出现安全隐患则会给企业带来严重的利益损失。

相对于WEB安全监测和防护产品,API安全领域存在极大的空白。目前市场上落地的API安全防护平台和解决方案很少,有的API防护解决方案依赖于特定的云环境,例如Apigee适用于Google Cloud;有的API防护平台无法应对新一代API攻击,而是关注在API授权和管理策略层面,例如MuleSoft。Salt Security选择以API安全为切入点,研发出新一代API安全防护平台为SaaS平台、Web端、移动端等提供应用API的安全防护机制。其API保护平台是业界第一个利用人工智能以及大数据技术对API行为建立基线并进行下一代API攻击防护的解决方案。Salt Security的API防护平台的创新之处在于利用API细粒度正常行为构建行为基线,监控API活动和流动的数据以确保API行为没有偏离正常基线而且隐私数据不会被泄露。这种结合AI和大数据技术的解决方案能够动态监控API安全做到API的实时防护。但是笔者的顾虑是部署其防护平台的公司是否需要向Salt Security暴露部分API交互过程中的数据以做到更好地建立API行为基线,这一点没有在其落地的产品中看到有关的解释。

Salt Security的API安全解决方案具备快速部署的优势,能够持续的学习API中的细粒度行为并发现攻击者的恶意活动,无需进行过多的自定义配置即可确保API安全。Salt Security的API防护平台不仅具备适用性广、API防护能力强、容易部署等优势,并且其核心技术壁垒高、商业化落地性比较好,笔者认为Salt Security不仅在本次RSA创新沙盒竞争中非常具有竞争力,并且对Salt Security未来的发展前景看好。

发表评论