近日,IDC咨询正式发布《中国API安全市场洞察,2022》报告,观察中国API安全市场发展现状及未来趋势,并通过深度访谈行业用户和技术提供商,选出代表创新API安全相关的产品和解决方案,供技术购买者在进行技术选择时参考。睿数API安全管控平台(APIBotDefender)凭借自身的技术积累和行业优势,被列为具有代表性的API安全产品之一。IDC认为,API作为数据流动和使用的重要渠道,肩负着非常重要的责任。同时,API的多样性和复杂性也在增加。传统的基于网络和主机边界安全的防护技术不能完全满足云计算和微服务技术下持续弹性部署的业务安全需求。API风险。因此,API资产的全面梳理和安全保护成为市场的迫切需求,API的安全建设也成为企业数字化创新的基础保障。IDC将API安全定义为专门设计用于保护API通信免遭误用、滥用和漏洞利用的解决方案。它提供的功能包括API资产发现、验证和执行、动态和自适应流量监控以及模式分析。、检测和阻止恶意软件、漏洞利用、代码注入、机器人流量、DDoS攻击、欺诈和滥用等威胁。目前,API安全多以API安全网关、API安全管理平台等产品形式进行交付。IDC认为,中国API安全防护市场仍处于发展初期,产品和技术能力有待进一步加强。目前,国内已有多家网络安全厂商、数据安全厂商、云计算服务商、专业API安全厂商布局API安全市场,各家厂商凭借自身的技术积累和行业优势,推出了自己独具特色的产品和解决方案。睿数API安全管控平台(APIBotDefender)睿数API安全管控平台(APIBotDefender)可实现从API访问客户端到API服务端的全流程API安全威胁防护。不仅可以快速自动发现API,还可以对发现的API进行明确的标识,还可以展示清晰的API列表,让API接口的访问情况一目了然。同时,通过精准构建API画像,可以快速预览各业务的API情况,包括使用情况、异常情况、访问来源等,并根据行为分析结果或指定条件,动态响应可以调用机制来阻止异常的API请求。限速或脱敏等,从而增加逆向检测或机器学习分析等攻击手段的难度。lAPI资产管理模块:基于大数据建模自动发现API接口,自动对API接口进行分类分组,分配责任人,实现数据去中心化管理。自动提取API接口样式,为API接口提供直观、详细的展示,帮助客户实现API资产的生命周期管理。lAPI攻击防护模块:基于智能威胁检测引擎,对流量行为进行持续监控和分析,通过机器学习得到的各种威胁模型,判断异常攻击。同时利用语义分析和流量学习技术准确快速识别各类攻击,包括OWASPAPISecurityTop10安全攻击检测、API安全参数合规性检测、API接口调用序列检测。lAPI敏感数据管控模块:内置敏感信息检测引擎,涵盖姓名、手机号、身份证、银行卡、密码等18类敏感数据,自动分类敏感信息,提供真实-及时洞察API接口双向传输的敏感数据,明文密码和弱密码,及时对API接口返回消息中的敏感信息进行脱敏,规避数据泄露风险。lAPI异常行为监控模块:基于对API接口访问行为的多维度实时监控,包括访问成功率、耗时、每秒事务处理量(TPS)、并发数等维度,建立API访问基线,及时发现偏离基线的异常访问行为,及时发现未知API和僵尸API。内置的API业务威胁模型提供了对常见API业务威胁的洞察力,例如凭据填充和爬虫。lAPI访问控制模块:内置灵活的API访问控制策略,可以基于API接口、源互联网协议地址(IP)、访问频率、客户端指纹、API令牌、客户端代理(UserAgent)、超文本传输??协议(HTTP)请求特征、用户交互行为特征等上百个基础要素,实现对API接口的精细化访问控制,支持多维度的限频、拦截、延迟等。睿数API安全管理平台(APIBotDefender)具有以下特点特性:l全渠道感知:支持APP软件开发包(SDK)、微信小程序SDK和WebJavaScript,方便与各种API源应用集成,通过东西向和南北向流量采集客户端环境信息,感知源头环境和用户行为,保证请求客户端的合法性,为每个API生成唯一指纹租户。lAPI接口精准识别:通过API接口识别模型对API接口可能性进行打分,保证API接口准确识别,同时展示清晰的API列表,让API接口的访问状态一目了然一目了然,帮助用户实现API资产生命周期管理。l创新的敏感数据识别算法:大幅提升敏感数据识别的速度和准确率,帮助用户快速实现API敏感数据的识别分类。l动态访问控制:支持动态响应保护,包括定时器、区域锁定、按需拦截等多种访问控制策略,增加反向检测或机器学习分析等攻击手段的难度。————————————————————————————————————————结合目前的发展现状和未来趋势中国API安全市场,IDC为技术买家提供以下建议:lDevSecOps帮助企业将安全融入整个DevOps交付流程,从一开始就把安全放在首位。一个完整的API安全防护方案应该从API的开发部署开始,通过SAST、DAST等手段排查开发过程中的安全漏洞和误配置问题,帮助用户从根源上降低API安全风险。lAPI资产的发现和管理是API安全的基础,但仅靠安全团队的人工整理很难获得企业所有的API资产信息和应用状态。一方面需要相关业务部门的协同支持;另一方面,需要通过自动化或半自动化工具对企业网络中的各种API资产进行全面检测和识别,并根据企业自身规则进行精细化分类管理。lAPI安全不仅需要关注API本身的暴露面和漏洞信息、API访问权限的精细化管理、日志监控的缺失,还需要监控是否存在非法调用、敏感数据泄露等问题,以及通过API传输的数据中的数据篡改。针对安全问题,企业应根据自身业务需求,合理规划防护重点,选择匹配的技术提供商。l对于业务部门来说,为了保护API安全而显着影响业务系统的响应速度是不可接受的。因此,企业在评估厂商能力时,需要重点关注产品性能,尤其是在为通信速度要求高的业务系统提供API安全保护时,必须在速度、功能、稳定性、一致性等方面做好。多方面的平衡。
