8月26日,全球领先的IT研究和咨询公司IDC发布了《IDC TechScape:中国数据安全技术发展路线图,2022》,选取了18个新兴及重要的数据安全技术进行分析,并从变革型、递增型和机会型技术三大类别,来呈现不同数据安全技术与服务的技术点、技术优劣势、发展阶段、风险程度、市场热度和标杆厂商,帮助用户了解和选择适合其自身业务发展要求的数据安全产品与服务组合。
瑞数信息作为中国数据安全领域的中坚力量,推出的API安全管控平台将面向攻击的主动防御能力和AI智能数据分析能力全面融合,被列为IDC TechScape:数据安全变革性技术之API安全代表厂商。
API正在成为实现商业创新和数字化转型的核心技术手段,其连接的已不仅是系统和数据,还有企业、客户、合作伙伴,甚至整个商业生态,成为当下网络应用流量的重要出入口,越来越多的攻击者正利用API来实施自动化的高效攻击。
IDC指出,API安全日渐成为了一个重要的数据安全、应用安全领域。目前,传统在Web应用安全网关等产品中的API防护功能已经不足以防护日益复杂的API攻击,API安全应站在全生命周期管理的角度,从API安全开发和部署(API 测试等)开始,配合加密、身份认证、权限管控、API安全测试、检测、监测、威胁防护、威胁处理等能力来进行管理和控制。
总体来看,最终用户面临的API安全防护困境主要集中在API资产梳理不全面、不准确、开发过程中的API测试能力较弱、安全配置错误、身份认证与权限管控失误、加密失败、运行过程中持续的检测监测难、API 安全意识薄弱等问题。
作为中国API安全代表厂商,瑞数信息基于用户在API安全防护的痛点,在技术路线上将主动防御能力与AI智能数据分析能力进行全面融合,由此推出了具有API感知、发现、监测、保护能力的瑞数API安全管控平台,覆盖API安全防护管理全生命周期。
有别于很多从API安全网关角度切入的安全方案,瑞数API安全管控平台着重强调API相关威胁的识别能力和防护能力的提升,以行为分析为基础更细粒度、更准确地识别风险,实现从API接入客户端到API服务器端的全程式API安全威胁防护。
具体而言,瑞数API安全管控平台包括:API资产管理、攻击防护、敏感数据管控、访问行为管控四大模块,为API接口提供完整的安全管控方案。
API资产管理模块:持续发现API接口,建立API清单,与业务方提供的API目录进行比对,及时发现未知的API和僵尸API。自动对API接口实现分类、分组、并指派责任人,实现数据分权管理。提取 API 接口的元数据,为API接口提供可视化的详情展示。
API攻击防护模块:基于已知业务逻辑和依赖关系定义API接口调用顺序,防止绕过业务逻辑的访问行为,提前设置接口请求参数调用规则,拒绝非法的API请求参数调用,降低安全配置错误,缩小攻击面;支持API安全攻击检测和防护,并引入语义分析技术,进一步提高检测准确性。
API敏感数据管控模块:内置敏感信息检测引擎,覆盖OWASP API Security Top10、姓名、手机号、身份证、银行卡、密码等18种敏感数据类型,对敏感信息进行自动分级,实时洞察API接口中双向传输的敏感数据、明文密码和弱密码,并及时对 API 接口回传报文中的敏感信息进行脱敏处理,规避数据泄漏风险。
异常行为监控模块:基于多维度实时监控API接口的访问行为,包括访问成功率、耗时、TPS、并发数等维度,建立API访问基线,及时发现偏离基线的异常访问行为;内置API 业务威胁模型,透视API常见的业务威胁,如:撞库、爬虫等。
API访问控制模块:内置灵活的API访问控制策略,可基于API接口、源IP、访问频率、客户端指纹、API令牌、User Agent、HTTP请求特征等上百个元素,对API接口实现精细化的访问控制,支持对维度限频、拦截、延时等。
瑞数API安全管控平台不仅可以快速自动地发现API,并且针对发现的API给出明确的认定,还可以显示出清晰的API列表,对API接口的访问情况一目了然。同时,通过精准地构建API画像,可以快速预览各个业务的API情况,包括使用情况、异常情况、访问来源等,并且可根据行为分析的结果或指定条件,进行动态响应防护,提升通过逆向探测或机器学习分析等攻击手段的难度。
瑞数API安全管控平台已广泛应用于金融、快消、零售、运营商、能源等多个行业,为企业实现API安全管控和数据安全提供有力支持。
入选IDC TechScape API安全技术推荐厂商的背后,是瑞数信息紧紧贴合市场趋势与用户需求,在技术上不断精进创新,长期以来收获了市场与用户的认可。未来,瑞数信息将持续打磨API安全技术和方案,为用户带来实实在在的价值,助力企业合规建设数据安全,有效抵御API新兴威胁。