近日,IDC 2022 CSO全球网络安全峰会(中国站)在上海隆重开幕,会上首次发布《IDC TechScape:中国数据安全发展路线图,2022》(以下简称:TechScape 路线图 2022)。盛邦安全入选TechScape 路线图变革型技术曲线“API安全”技术推荐厂商,这是对盛邦安全在API安全技术领域持续创新与积累的重要认可。
TechScape 路线图旨在帮助用户构建全方位数据安全治理体系,赋能用户实现数据安全治理目标。本次发布的TechScape 路线图 2022 选取了18个新兴及重要的数据安全技术进行分析,根据技术的市场影响以及各技术的发展阶段,将其分为变革型技术、主导型技术以及机会型技术三大类别。通过对每个数据安全领域单项技术的部署情况、风险程度、市场热度等内容进行细致的研究,针对每项技术给出三个推荐厂商,从而为最终用户在产品选型时提供技术参考。
API 安全防护成为企业安全体系的重要组成部分
TechScape 路线图2022报告显示,应用程序规模正在快速增长,API通过集成应用软件的模式来更好地连接应用程序,已经成为了应用程序连接、创新的基础,给技术服务提供商和用户带来更多便利。然而,API也开始被众多攻击者所关注,非授权访问、数据篡改与窃取、分布式拒绝服务、 SQL 注入等成为了攻击者运用 API 进行攻击的常用手段。
由于API 的多样性、复杂性,一个应用程序可能会连接多个不同语言体系的 API,这无疑给最终用户的 API 安全防护造成了很大困扰,许多用户在攻击事件发生后才意识到 API 风险。然而,由于企业广泛存在 API 资产梳理不全面、不准确、开发过程中的 API 测试能力较弱、安全配置错误、身份认证与权限管控失误、加密失败、运行过程中持续的检测监测难、API 安全意识薄弱等问题,API防护面临诸多的困境。
盛邦安全API产品市场负责人认为,传统的依赖API网关与WAF、IPS等防护设备联动配合的方式,逐渐暴露出漏防、漏报、方案整合复杂程度高且针对性不足等缺点,越来越多的用户需要部署专用的API检测和防护设备,以实现API的全生命周期安全管理和控制。而IDC 定义下的 API 安全,是一类帮助用户缓解和保护 API 相关安全风险的解决方案,也是网络安全技术应用的重要领域。
盛邦安全RayAPI 保护API安全无虞
盛邦安全基于自身在网络资产治理与应用安全领域的技术积累,推出了集API资产梳理与加固保护于一体的安全防护型产品——API安全防护系统(RayAPI),可以在API学习画像的基础上,对其进行权限加固、攻击防护、数据保护和综合审计,提供全面的管控手段。
为了应对不同环境下的各类安全需求,RayAPI逐渐形成了如下五个核心技术能力:
主被动结合的API学习引擎:采用主动探测与被动流量分析相结合的API学习引擎,可以全面梳理用户业务中存在的API资产,并结合流量特征进行语义提取,识别API状态、用途等属性,从而实现标签化的画像管理,自动梳理出正常API、影子API与问题API等内容;
启发式攻击检测与防护引擎:采用特征检测、语义分析与AI学习三合一的启发式检测引擎,通过对已知的攻击规则与行为特征简化判断逻辑,并对引擎持续训练,提升针对未知风险的发现能力,从而对API相关的注入攻击、命令攻击、异常访问和非法内容进行防护处置;
基于人机识别的API访问控制:产品基于流量变化和行为特点等角度进行建模分析,梳理API访问的基线并进行动态跟踪,对未授权访问、未知请求、非法调用和异常高频请求等行为进行识别判断,并利用反向校验、访问限制和白名单等方式进行访问控制;
面向业务的API数据调用管控:产品采用全面的检查点和丰富的数据处理模型,能够结合业务特点来对组织敏感数据、个人隐私信息、业务关键信息和系统账户口令等数据进行精准识别、统计和分类梳理,并结合擦除、替换和访问限制等手段来达到脱敏保护等目的;
面向API生命周期的态势监控:基于时间、空间、业务属性和数据类型等多种维度对API资产进行监控,对API上线状态、运行状况、调用可靠性、数据合法性以及威胁态势进行综合研判,实现API资产的细粒度审计和可视化分析。
基于领先的 API 防护技术与丰富的行业实践,盛邦安全将持续优化RayAPI,帮助用户更好地对抗API攻击,保护API安全无虞。