自新冠疫情爆发以来,全球组织的数字化转型步伐呈现出明显的加速趋势。根据谷歌发布的《2021 API 经济报告》,2020年,近四分之三的组织将继续投资于数字化转型,其中三分之二将增加投资或进行战略调整,以实施数字优先战略。数字化转型的核心是将组织的服务、资产和能力打包成互联网服务,从而在资源之间形成更强的连接和交互关系,释放原有资产的价值,提升组织的服务能力。其中,API是非常关键的技术。随着数字化进程的推进,组织正在大量使用API。越来越多的应用被开发出来,开放架构也越来越多地被用在创新场景中。据统计,整个网站83%的流量是通过API访问的。还有数据显示,44%的企业正在构建和维护100个或更多的API,API流量增长迅速。API在带来极大便利的同时,也带来了新的安全问题。很多企业连自己都不知道到底开放了多少API,使用起来是否可控有效,存在什么样的安全隐患和隐患。知道。API安全正受到业界和学术界的高度关注,开放Web应用程序安全项目(OWASP)将API列为2019年最受关注的十大安全问题之一。2020年,中国人民银行发布《商业银行应用程序接口安全管理规范》、三大运营商也相继发布了API安全管理规范。API安全的影响越来越大,传统API安全网关的部署和维护成本高,无法有效抵御新兴的安全威胁。在此背景下,睿数信息创新推出API安全管控平台——APIBotDefender,致力于解决API面临的各种安全风险和挑战,实现API资产管理、攻击防护、敏感数据管控和访问行为管控,为业务创新保驾护航。API安全的常见解决方案很多公司都会参考OWASP的十大安全防护项目。而OWASP在2019年发布的十大API安全项目的发布时间都比较短,很多企业都未能及时做出相应的防护。由于API安全涉及的范围比较广,一些常见的安全问题不在其中。即使相应的十大API安全项目得到保护,也仍然存在一些不足。API安全市场也处于相对早期的阶段。从目前的API安全市场来看,API安全解决方案主要有两类:第一种是API安全网关解决方案。API技术的兴起伴随着技术架构的变革,Http协议的问题造成了极大的安全隐患。为了保证安全性,开发者在开发阶段需要对API加入鉴权、鉴权、防篡改等安全工作。同时,需要相应配置API网关等安全防护产品。2015年前后,市场上出现了基于独立API网关的API安全方案,但在实际应用中发现该方案实施难度大、成本高,企业更倾向于使用应用开发商自建的API网关,基于API网关的专业API安全解决方案,并没有取得预期的成功,所以API网关的产品形态还在不断演化。在Gartner最新发布的WAF魔力象限中,提到了结合Web应用和API保护服务的最新趋势——WAAP,它是一个集DDoS、Bot攻击、API保护和WAF为一体的安全保护平台。Gartner有意将WAF和API保护能力结合起来,使得很多WAF厂商开始在WAF中集成API网关。作为安全产品形态的自然演进,其主要问题在于缺乏数据分析和管理能力。二是基于数据分析的API安全解决方案。通过AI技术分析API访问行为,发现API的各种异常访问行为,提供API管理。与API安全网关方案相比,该方案缺少的是安全威胁的防控能力。锐数信息的回应——锐数API安全管控平台(APIBotDefender)锐数信息在2019年推出了具有API感知、发现、监控、保护能力的API安全解决方案,今年将聚焦API的四大核心功能安全管控形成——睿数API安全管控平台(APIBotDefender),包括API资产管理、攻击防护、敏感数据管控和访问行为管控四大模块,提供完整的API接口安全管控方案。作为国内最早推出API安全管控解决方案的厂商之一,充分体现了锐数信息对市场的观察和理解:锐数信息的API安全管控平台主要面向新兴的API安全风险,弥补了传统的API安全风险。解决方案。不足的。在技??术路线上,没有选择传统的API网关技术,而是将WAF的安全管控能力与数据安全分析能力相结合,是综合了上述两种API安全方案优势的全新解决方案。资产管理模块通过引入API资产管理实现对API资产的统一管理。API资产管理基于数据建模,自动发现受保护站点的API资产,并进行梳理、分析和下线,帮助客户实现API资产的全生命周期管理。攻击防护模块综合利用智能规则匹配和行为分析的智能威胁检测引擎,持续监控和分析流量行为,有效检测威胁攻击。智能威胁检测引擎在用户与应用程序交互时收集数据,并使用统计模型识别HTTP请求中的异常情况。一旦识别出异常,智能引擎将使用通过机器学习获得的多个威胁模型来识别异常攻击。敏感数据控制模块识别API传输中的敏感数据,实时对敏感数据进行脱敏或拦截,防止敏感数据泄露。访问行为控制模块分析API接口的访问行为,通过多维度建立API访问基线和API威胁建模,发现恶意访问行为,避免恶意访问造成的业务损失。主要应用场景API资产自动发现API安全管控平台通过分析访问流量,自动发现流量中的API接口,实现API接口的自动识别、排序、分组。API攻击防护识别各种针对API的安全攻击,对安全攻击实施实时防护;对API请求参数进行合规控制,对不符合规范的请求参数进行实时控制。API流量监控与防护监控API访问行为,针对高频情况进行防护,防止高频情况导致的API性能瓶颈。防止非法API调用从API网关获取API鉴权和鉴权数据,防止API非法调用,保证API接口只能被合法用户访问。API滥用预防针对API接口,防止API接口被滥用和牟利。API资产生命周期管理对发现的API接口进行生命周期管理,根据关键字搜索功能快速分组,并为分组后的API资产指定负责人,实现API资产的导入导出、上线下线的资产。API敏感数据管控识别API传输中的敏感数据,实时模糊或拦截敏感数据,防止敏感数据泄露。未知API发现从API网关获取API注册数据,与API资产进行比对,发现未知API接口,防止未知API访问造成业务访问压力,导致服务不可用。API访问行为管控监控API接口的访问和使用状态,包括成功率、性能等,通过建立多维度的访问基线和API威胁建模,监控基线偏差,高效识别异常访问行为,避免因异常访问造成的业务损失恶意访问。核心优势睿数API安全管控平台(APIBotDefender)可实现从API访问客户端到API服务端的全程API安全威胁防护。API自动发现睿数API安全管理平台(APIBotDefender)的“Discover发现模块”可快速自动发现API,并对发现的API进行明确标识;同时清晰展示API列表,API接口访问状态一目了然。构建API画像睿数API安全管控平台(APIBotDefender),采用全方位安全威胁防护技术,助力API画像精准构建;通过API画像,可以快速预览各个业务的API情况,包括使用情况、异常情况、访问来源等。API全渠道感知提供各种SDK,方便与各种API源应用集成,感知源环境和用户行为。动态响应保护可根据行为分析结果或指定条件进行动态响应保护,增加反向检测或机器学习分析等攻击手段的难度。此外,睿数API安全管控平台的部署方式非常灵活,支持软件、硬件和云端部署,可大大降低部署、管理和维护成本。同时占用资源少,不影响服务器的正常运行,可以实现免应用部署。目前,API安全问题在金融、政府、运营商三大行业受到广泛关注。睿数API安全管控平台也凭借突出的技术实力和防护能力,成功应用于这三大行业,全面协助用户解决问题。API安全层面的各种问题,为业务创新和稳定保驾护航!
