| 首页  |  资讯  |  评测  |  活动  |  学院  |  专题  |  杂志  |  产服  |  
您现在的位置:硅谷网> 资讯> 安全>

2021年API成重大威胁,如何保护企业API安全?

2021-03-16 16:59 作者:佚名 来源:硅谷网综合 关注: 编辑:GuiGu 【搜索试试

自新冠疫情爆发以来,全球范围内的组织在数字化转型上的步伐呈现明显加速趋势。谷歌发布的《2021 API 经济报告》中指出,在2020年,近四分之三的组织继续在数字化转型上投资,其中,三分之二的组织加大投资或作出战略调整,实行数字优先战略。

数字化转型的核心是将组织的服务、资产和能力打包成互联网服务,从而让资源之间形成更强的连接和互动关系,释放原有资产的价值,提升组织的服务能力,这其中,API是非常关键的技术。

随着数字化进程的发展,组织正在大量使用API。越来越多的APP被开发出来,开放架构在创新场景中的使用也越来越多。有数据统计,整个Web网站有83%的流量是通过API来访问的。也有数据显示,44%企业正在建造和维护100个或更多的API,API流量正在快速增长。

API在带来巨大便利的同时也带来了新的安全问题, 很多企业甚至自己的不知道有多少API被开放,是否受控使用和有效使用,有怎样的安全风险和隐患,就更不得而知。API安全正受到业界和学术界的广泛关注,开放Web应用程序安全项目(OWASP)在2019年将API列为最受关注的十大安全问题。2020年,中国人民银行发布了《商业银行应用程序接口安全管理规范》,三大运营商也相继发布了API安全管理规范。

API安全造成的影响越来越大,而传统API安全网关的部署与维护成本高,无法有效防护新兴安全威胁。在此背景下,瑞数信息创新地推出了API安全管控平台——API BotDefender,致力于解决API面临的各种安全风险与挑战,实现API的资产管理、攻击防护、敏感数据管控和访问行为管控,为业务创新保驾护航。

API安全的常见解决方案

许多企业都会参照OWASP十大项目做安全防护,但2019年OWASP发布的API安全十大项目发布的时间较短,许多企业还没能及时作出相应防护。由于API安全涉及的范围比较广,一些常见的安全问题并没有被列入其中,即使是对应API安全十大项目作出防护仍会有一些不足。

API安全市场也处于相对早期阶段,从目前的API安全市场来看,主要有两类API安全解决方案:

第一种,API安全网关方案。

API技术的兴起伴随着技术架构上的变化,由于Http协议的问题造成了很大安全隐患。为了保障安全,需要开发者在开发阶段针对API加入鉴权、认证以及防篡改方面的安全工作。同时,需要API网关之类的安全防护产品作出相应配置。

2015年前后,市场上出现了以独立的API网关为主的API安全解决方案,但在实际应用中发现,这种方案落地困难且成本较高,企业更倾向于使用应用开发者自建的API网关,专业的基于API网关的API安全方案没有获得预想的成功,于是API网关的产品形态还在继续演进。

在Gartner最新的WAF魔力象限中,提到了Web应用程序和API防护服务相结合的最新趋势——WAAP,这是一种集合了DDoS、Bot缓解,API防护和WAF的安全防护平台。Gartner有意将WAF与API防护能力结合起来,使得许多WAF厂商开始在WAF里集成API网关。

作为安全产品形态上的一种自然而然的演化,它的主要问题在于缺少数据分析和管理的能力。

第二种,基于数据分析的API安全方案。

通过AI技术对API的访问行为进行分析,发现API的各种异常访问行为,提供API的管理。与API安全网关方案相比,此方案缺少的是安全威胁防控能力。

瑞数信息的应对之道——瑞数API安全管控平台(API BotDefender)

瑞数信息于2019年就推出具有API感知、发现、监控、保护能力的API安全解决方案,今年更将此能力聚焦于API安全管控的4大核心功能,形成——瑞数API安全管控平台(API BotDefender),该平台包括API资产管理、攻击防护、敏感数据管控和访问行为管控四大模块,为API接口提供完整的安全管控方案。作为国内最早推出API安全管控解决方案之一的厂商,它充分体现了瑞数信息对于市场的观察和理解:

瑞数信息API安全管控平台,主要面向新兴的API安全风险,弥补了传统方案中的不足。技术路线上,没有选择传统的API网关技术,而是将WAF的安全管控能力与数据安全分析能力进行结合,是一种结合了以上两种API安全方案优势的全新方案

资产管理模块

通过引入API资产管理,实现对API资产的统一管理。API资产管理基于数据建模自动发现被保护站点的API资产,对API资产进行梳理、分析和上下线,帮助客户实现API资产的生命周期管理。

攻击防护模块

综合利用智能规则匹配及行为分析的智能威胁检测引擎,持续监控并分析流量行为,有效检测威胁攻 击。智能威胁检测引擎在用户与应用程序交互的过程中收集数据,并利用统计模型来确定HTTP请求的异常。一旦确定异常情况,智能引擎就会使用机器学习获得的多种威胁模型来确定异常攻击。

敏感数据管控模块

对API传输中的敏感数据进行识别,针对敏感数据可以进行脱敏或者实时拦截,防止敏感数据泄露。

访问行为管控模块

对API接口的访问行为进行分析,通过多维度建立API访问基线、API威胁建模,发现恶意访问行为,避免恶意 访问造成的业务损失。

主要应用场景

API资产自动发现

API安全管控平台通过对访问流量进行分析,自动发现流量中的API接口,实现API接口自动识别、梳理和分组。

API攻击防护

识别各种针对API的安全攻击,对安全攻击进行实时防护;对API请求参数进行合规管控,对不符合规范的请求参数实时管控。

API流量监控与保护

监控API的访问行为,针对高频情况等进行防护,防止高频情况等造成的API性能瓶颈。

非法API调用防护

通过从API网关上获取API认证和鉴权数据,防止未授权的API调用,保障API接口只能被合法用 户访问。

API滥用防护

针对API接口,防止其被滥用并用于谋取利益。

API资产生命周期管理

对发现的API接口进行生命周期管理,基于关键字搜索功能快速分组,并且对分组后的 API资产指定责任人,实现API资产的导入和导出、资产上下线。

API敏感数据管控

对API传输中的敏感数据进行识别,针对敏感数据可以进行模糊化或者实时拦截,防止敏感数据泄露。

未知API发现

通过从API网关上获取API注册数据,与API资产进行对比,发现未知API接口,防止未知API 访问造成的业务访问压力,导致业务不可用。

API访问行为管控

监控API接口的访问和使用状况,包括成功率、性能等,通过建立多维度访问基线和API威胁建模,监控基线偏离状况,高效识别异常访问行为,避免恶意访问造成的业务损失。

核心优势

瑞数API安全管控平台(API BotDefender),能够实现从API接入客户端到API服务器端的全程式API安全威胁防护。

API全自动发现

瑞数API安全管控平台(API BotDefender)的“Discover发现模块”,可以快速自动地发现API,并且针对发现的API给出明确的认定;同时,显示出清晰的API列表,对API接口的访问情况一目了然。

构建API画像

瑞数API安全管控平台 (API BotDefender),采用全程式安全威胁防护技术,从而利于精准地构建API画像;通过API画像,可以快速预览各个业务的API情况,包括使用情况、异常情况、访问来源等。

API全渠道感知

提供各种SDK,方便与各类API来源应用进行集成,可以对来源环境和用户行为进行感知。

动态响应防护

可根据行为分析的结果或指定条件,进行动态响应防护,提升通过逆向探测或机器学习分析等攻击手段的难度。

此外,瑞数API安全管控平台的部署方式非常灵活,支持软件、硬件和云的方式进行部署,可以大大降低部署、管理和维护成本。同时,占用资源少,不影响服务器的正常运行,可以实现应用无感知部署。

目前,API安全问题在金融、政府、运营商三大行业获得了广泛的关注,瑞数API安全管控平台也凭借其突出的技术实力和防护能力,在该三大行业成功应用,全面助力用户解决API安全层面的各类问题,为业务的创新和稳定进行保驾护航!

【对“2021年API成重大威胁,如何保护企业API安全?”发布评论】

版权及免责声明:
① 本网站部分投稿来源于“网友”,涉及投资、理财、消费等内容,请亲们反复甄别,切勿轻信。本网站部分由赞助商提供的内容属于【广告】性质,仅供阅读,不构成具体实施建议,请谨慎对待。据此操作,风险自担。
② 内容来源注明“硅谷网”及其相关称谓的文字、图片和音视频,版权均属本网站所有,任何媒体、网站或个人需经本网站许可方可复制或转载,并在使用时必须注明来源【硅谷网】或对应来源,违者本网站将依法追究责任。
③ 注明来源为各大报纸、杂志、网站及其他媒体的文章,文章原作者享有著作权,本网站转载其他媒体稿件是为传播更多的信息,并不代表赞同其观点和对其真实性负责,本网站不承担此类稿件侵权行为的连带责任。
④ 本网站不对非自身发布内容的真实性、合法性、准确性作担保。若硅谷网因为自身和转载内容,涉及到侵权、违法等问题,请有关单位或个人速与本网站取得联系(联系电话:01057255600),我们将第一时间核实处理。
广告
相关
·确保数据安全,API安全保卫大作战之六大锦囊
头条
博通Wi-Fi芯片存在安全漏洞 数十亿部iPhone遭窃听 博通Wi-Fi芯片存在安全漏洞 数十亿部iPhone遭
据国外媒体报道,在网络扮演重要角色、智能设备大量普及的当下,网络和设备的安全至关……
·博通Wi-Fi芯片存在安全漏洞 数十亿部iPhone遭
·三星手机推送奇怪1通知 该通知源于三星数据泄
·中国计算机病毒应急处理中心监测发现24款违法
· AI入法 首个“AI面试法案”在美国伊利诺斯州
·《App违法违规收集使用个人信息行为认定方法
图文
2021年API成重大威胁,如何保护企业API安全?
2021年API成重大威胁,如何保护企业API安全
博通Wi-Fi芯片存在安全漏洞 数十亿部iPhone遭窃听
博通Wi-Fi芯片存在安全漏洞 数十亿部iPhone
区块链骗局都有哪些?区块链下有人暴富有人破产!
区块链骗局都有哪些?区块链下有人暴富有人
2019年网络安全生态峰会举行 智慧共享互信共治
2019年网络安全生态峰会举行 智慧共享互信
热点
·全国多所高校电脑遭病毒绑架 需要关闭445端口
·区块链骗局都有哪些?区块链下有人暴富有人破
·2019年网络安全生态峰会举行 智慧共享互信共
·苏宁京东接连中招,双十一在即这个套路要小心
·没了乌云谁还敢随便使用那些不安全的网络平台
旧闻
·iOS11.1.1发布十小时被腾讯安全科恩实验室越
·支付宝患上焦虑症:安全漏洞与社交执念
·2018网安周举办在即 腾讯安全将带来三大黑科
·FB泄露300万欧洲用户资料 或面临高达16亿美元
·腾讯安全玄武实验室于旸亮相《中国故事大会》
广告
硅谷精选
2021年API成重大威胁,如何保护企业API安全?
2021年API成重大威胁,如何保护企业API安全?
博通Wi-Fi芯片存在安全漏洞 数十亿部iPhone遭窃听
博通Wi-Fi芯片存在安全漏洞 数十亿部iPhone遭窃听
智能手机存安全风险 华为手机恐成“静默拉活”受害者
智能手机存安全风险 华为手机恐成“静默拉活”受害者
三星手机推送奇怪1通知 该通知源于三星数据泄露?
三星手机推送奇怪1通知 该通知源于三星数据泄露?
微信群里虚假销售额温枪 诈骗7万余元被刑拘
微信群里虚假销售额温枪 诈骗7万余元被刑拘
RSAC2020正式开幕,信源豆豆用科技保护“安全”力量
RSAC2020正式开幕,信源豆豆用科技保护“安全”力量
关于我们·About | 联系我们·contact | 加入我们·Join | 关注我们·Invest | Site Map | Tags | RSS Map
电脑版·PC版 移动版·MD版 网站热线:(+86)010-57255600
Copyright © 2007-2020 硅谷网. 版权所有. All Rights Reserved. <京ICP备12003855号-2>