近日��,IDC咨詢正式發布《中國API安全市場洞察���,2022》報告����,對中國API安全市場發展現狀及未來趨勢進行觀察����,并通過對行業用戶以及技術提供商的深入訪談����,挑選出具有代表性的API安全相關產品和解決方案�,供技術買家在進行技術選擇時參考�����。
瑞數API安全管控平臺(API BotDefender)憑借自身的技術積累和行業優勢����,被列為具有代表性的API安全產品之一�����。
IDC認為���,API作為數據流轉和使用的重要通道�����,承載著十分重要的責任�����。同時���,API的多樣性����、復雜性在不斷增加�����,傳統基于網絡和主機邊界安全的防護技術無法充分應對云計算和微服務技術下不斷彈性部署的業務安全需要�����,許多用戶在攻擊事件發生后才意識到API風險���。因此�,API資產的全面梳理和安全防護成為市場的迫切需求����,API的安全建設也成為企業數字化創新的基礎保障�。
IDC將API安全定義為專門為保護API通信免受誤用�、濫用和漏洞利用而設計的解決方案���,其所提供的功能包括API資產發現���、驗證和執行�����,動態和自適應的流量監測和模式分析�、檢測和阻止威脅����,例如惡意軟件�、漏洞利用�、代碼注入��、機器人流量����、DDoS攻擊�����、欺詐和濫用等���。目前API安全多以API安全網關�、API安全管理平臺等產品形式進行交付���。
IDC認為���,API的安全防護市場在中國還處于初步發展階段�����,產品和技術能力還需進一步加強����。目前�����,國內眾多網絡安全廠商���、數據安全廠商��、云計算服務商����、專業的API安全廠商紛紛布局API安全市場����,且各個廠商結合自己的技術積累和行業優勢推出了各具特色的產品和解決方案���。
瑞數API安全管控平臺(API BotDefender)
瑞數API 安全管控平臺(API BotDefender)能夠實現從API接入的客戶端到API服務器端的全程式API安全威脅防護����。不僅可以快速自動地發現API�,并且針對發現的API給出明確的認定���,還可以顯示出清晰的API列表�,對API接口的訪問情況一目了然�����。同時����,通過精準構建API畫像����,可以快速預覽各個業務的API情況����,包括使用情況�����、異常情況�����、訪問來源等�����,并且可根據行為分析的結果或指定條件�,調用動態響應機制對異常API請求進行攔阻��、限速或脫敏等�,從而提升通過逆向探測或機器學習分析等攻擊手段的難度����。
API資產管理模塊:基于大數據建模自動發現API接口�����,自動對API接口實現分類����、分組�����、并指派責任人�,實現數據分權管理����。自動提取API接口樣式���,為API接口提供可視化的詳情展示��,幫助客戶實現API資產的生命周期管理���。
API攻擊防護模塊:基于智能威脅檢測引擎持續監控并分析流量行為����,用機器學習獲得的多種威脅模型來確定異常攻擊���,同時利用語義分析和流量學習技術��,精準��、快速識別各類攻擊��,包括OWASP API Security Top10的安全攻擊檢測�、API安全參數合規檢測��、API接口調用順序檢測�����。
API敏感數據管控模塊:內置敏感信息檢測引擎�����,覆蓋姓名��、手機號����、身份證�、銀行卡�����、密碼等18種敏感數據類型���,對敏感信息進行自動分級��,實時洞察API接口中雙向傳輸的敏感數據�����、明文密碼和弱密碼����,并及時對API接口回傳報文中的敏感信息進行脫敏處理��,規避數據泄漏風險����。
API異常行為監控模塊:基于多維度實時監控API接口的訪問行為��,包括訪問成功率�、耗時�、 每秒事務處理量(TPS)�、并發數等維度���,建立API訪問基線�����,及時發現偏離基線的異常訪問 行為����,及時發現未知的API和僵尸API���。內置API 業務威脅模型��,透視API常見的業務威脅�, 如撞庫����、爬蟲等�。
API訪問控制模塊:內置靈活API訪問控制策略���,可基于API接口�、源互聯網協議地址 (IP)�����、訪問頻率��、客戶端指紋��、API令牌��、客戶代理(UserAgent)�、超文本傳輸協議 (HTTP )請求特征等上百個基礎要素和用戶交互行為特征���,對API接口實現精細化的訪問控制��,支持多維度限頻����、攔截��、延時等��。
瑞數API安全管控平臺(API BotDefender)具備以下特點:
全渠道感知:支持APP軟件開發工具包(SDK)����、微信小程序SDK和WebJavaScript���,方便與各類API來源應用進行集成��,通過東西和南北向流量采集客戶端環境信息����,對來源環境和用戶行為進行感知��,保障請求客戶端的合法性�����,同時�����,為每個API客戶端生成唯一的指紋標識��。
API接口精準識別:通過API接口識別模型對API接口可能性進行打分����,確保API接口的精準識別���,同時顯示清晰的API列表���,對API接口的訪問情況一目了然��,幫助用戶實現API資產生命周期管理�。
創新敏感數據識別算法:大幅提升敏感數據識別速度和精準度����,幫助用戶快速實現API敏感數據識別和分類分級����。
動態訪問控制:支持動態響應防護���,包括定時器��、地域鎖�、按需攔截等多種訪問控制策略�����,提升通過逆向探測或機器學習分析等攻擊手段的難度�����。
結合當前中國API安全市場發展現狀及未來趨勢�,IDC為技術買家提供了以下幾點建議:
DevSecOps幫助企業將安全融入DevOps整體交付流程�,從開始階段就將安全列為優先事項���。完整的API安全防護解決方案應從API開發和部署開始��,運用SAST��、DAST等手段在開發環節檢驗安全漏洞和錯誤配置的問題�,幫助用戶從根源上降低API安全風險��。
API資產的發現與管理是做好API安全的基礎����,但僅靠安全團隊人工梳理很難全面獲取企業所有API資產信息及其應用狀態���。一方面需要相關業務部門的協同支持��;另一方面����,需要通過自動或半自動化的工具全面檢測和識別企業網絡中的各類API資產���,并根據企業自有規則進行精細化分類管理�。
API安全不僅需要關注API自身的暴露面和漏洞信息�、API的訪問權限精細化管理�、日志監控缺失等問題��,還需要監測通過API流轉的數據是否存在違規調用�、敏感數據泄露����、數據篡改等數據安全問題�����,企業應結合自身業務需求��,合理規劃防護重點并選擇匹配的技術提供商���。
對于業務部門來說���,為了防護API安全而顯著影響業務系統的響應速度是不可接受的��。因此�,企業在進行廠商能力評估時需要重點關注產品的性能表現�����,尤其是面向對通信速度有較高要求的業務系統提供API安全防護時��,更要做好速度�、功能��、穩定性和一致性等多方面的平衡����。
(新聞稿 2023-02-06)