阿里云優(yōu)惠券 先領券再下單

近日，IDC咨詢正式發(fā)布《中國API安全市場洞察，2022》報告，對中國API安全市場發(fā)展現(xiàn)狀及未來趨勢進行觀察，并通過對行業(yè)用戶以及技術提供商的深入訪談，挑選出具有代表性的API安全相關產(chǎn)品和解決方案，供技術買家在進行技術選擇時參考。

瑞數(shù)API安全管控平臺（API BotDefender）憑借自身的技術積累和行業(yè)優(yōu)勢，被列為具有代表性的API安全產(chǎn)品之一。

IDC認為，API作為數(shù)據(jù)流轉和使用的重要通道，承載著十分重要的責任。同時，API的多樣性、復雜性在不斷增加，傳統(tǒng)基于網(wǎng)絡和主機邊界安全的防護技術無法充分應對云計算和微服務技術下不斷彈性部署的業(yè)務安全需要，許多用戶在攻擊事件發(fā)生后才意識到API風險。因此，API資產(chǎn)的全面梳理和安全防護成為市場的迫切需求，API的安全建設也成為企業(yè)數(shù)字化創(chuàng)新的基礎保障。

IDC將API安全定義為專門為保護API通信免受誤用、濫用和漏洞利用而設計的解決方案，其所提供的功能包括API資產(chǎn)發(fā)現(xiàn)、驗證和執(zhí)行，動態(tài)和自適應的流量監(jiān)測和模式分析、檢測和阻止威脅，例如惡意軟件、漏洞利用、代碼注入、機器人流量、DDoS攻擊、欺詐和濫用等。目前API安全多以API安全網(wǎng)關、API安全管理平臺等產(chǎn)品形式進行交付。

IDC認為，API的安全防護市場在中國還處于初步發(fā)展階段，產(chǎn)品和技術能力還需進一步加強。目前，國內(nèi)眾多網(wǎng)絡安全廠商、數(shù)據(jù)安全廠商、云計算服務商、專業(yè)的API安全廠商紛紛布局API安全市場，且各個廠商結合自己的技術積累和行業(yè)優(yōu)勢推出了各具特色的產(chǎn)品和解決方案。

瑞數(shù)API安全管控平臺（API BotDefender）

瑞數(shù)API 安全管控平臺(API BotDefender)能夠實現(xiàn)從API接入的客戶端到API服務器端的全程式API安全威脅防護。不僅可以快速自動地發(fā)現(xiàn)API，并且針對發(fā)現(xiàn)的API給出明確的認定，還可以顯示出清晰的API列表，對API接口的訪問情況一目了然。同時，通過精準構建API畫像，可以快速預覽各個業(yè)務的API情況，包括使用情況、異常情況、訪問來源等，并且可根據(jù)行為分析的結果或指定條件，調(diào)用動態(tài)響應機制對異常API請求進行攔阻、限速或脫敏等，從而提升通過逆向探測或機器學習分析等攻擊手段的難度。

API資產(chǎn)管理模塊：基于大數(shù)據(jù)建模自動發(fā)現(xiàn)API接口，自動對API接口實現(xiàn)分類、分組、并指派責任人，實現(xiàn)數(shù)據(jù)分權管理。自動提取API接口樣式，為API接口提供可視化的詳情展示，幫助客戶實現(xiàn)API資產(chǎn)的生命周期管理。

API攻擊防護模塊：基于智能威脅檢測引擎持續(xù)監(jiān)控并分析流量行為，用機器學習獲得的多種威脅模型來確定異常攻擊，同時利用語義分析和流量學習技術，精準、快速識別各類攻擊，包括OWASP API Security Top10的安全攻擊檢測、API安全參數(shù)合規(guī)檢測、API接口調(diào)用順序檢測。

API敏感數(shù)據(jù)管控模塊：內(nèi)置敏感信息檢測引擎，覆蓋姓名、手機號、身份證、銀行卡、密碼等18種敏感數(shù)據(jù)類型，對敏感信息進行自動分級，實時洞察API接口中雙向傳輸?shù)拿舾袛?shù)據(jù)、明文密碼和弱密碼，并及時對API接口回傳報文中的敏感信息進行脫敏處理，規(guī)避數(shù)據(jù)泄漏風險。

API異常行為監(jiān)控模塊：基于多維度實時監(jiān)控API接口的訪問行為，包括訪問成功率、耗時、 每秒事務處理量(TPS)、并發(fā)數(shù)等維度，建立API訪問基線，及時發(fā)現(xiàn)偏離基線的異常訪問 行為，及時發(fā)現(xiàn)未知的API和僵尸API。內(nèi)置API 業(yè)務威脅模型，透視API常見的業(yè)務威脅， 如撞庫、爬蟲等。

API訪問控制模塊：內(nèi)置靈活API訪問控制策略，可基于API接口、源互聯(lián)網(wǎng)協(xié)議地址 (IP)、訪問頻率、客戶端指紋、API令牌、客戶代理(UserAgent)、超文本傳輸協(xié)議 (HTTP )請求特征等上百個基礎要素和用戶交互行為特征，對API接口實現(xiàn)精細化的訪問控制，支持多維度限頻、攔截、延時等。

瑞數(shù)API安全管控平臺(API BotDefender)具備以下特點：

全渠道感知：支持APP軟件開發(fā)工具包(SDK)、微信小程序SDK和WebJavaScript，方便與各類API來源應用進行集成，通過東西和南北向流量采集客戶端環(huán)境信息，對來源環(huán)境和用戶行為進行感知，保障請求客戶端的合法性，同時，為每個API客戶端生成唯一的指紋標識。

API接口精準識別：通過API接口識別模型對API接口可能性進行打分，確保API接口的精準識別，同時顯示清晰的API列表，對API接口的訪問情況一目了然，幫助用戶實現(xiàn)API資產(chǎn)生命周期管理。

創(chuàng)新敏感數(shù)據(jù)識別算法：大幅提升敏感數(shù)據(jù)識別速度和精準度，幫助用戶快速實現(xiàn)API敏感數(shù)據(jù)識別和分類分級。

動態(tài)訪問控制：支持動態(tài)響應防護，包括定時器、地域鎖、按需攔截等多種訪問控制策略，提升通過逆向探測或機器學習分析等攻擊手段的難度。

——————————————————————————————————————

結合當前中國API安全市場發(fā)展現(xiàn)狀及未來趨勢，IDC為技術買家提供了以下幾點建議：

DevSecOps幫助企業(yè)將安全融入DevOps整體交付流程，從開始階段就將安全列為優(yōu)先事項。完整的API安全防護解決方案應從API開發(fā)和部署開始，運用SAST、DAST等手段在開發(fā)環(huán)節(jié)檢驗安全漏洞和錯誤配置的問題，幫助用戶從根源上降低API安全風險。

API資產(chǎn)的發(fā)現(xiàn)與管理是做好API安全的基礎，但僅靠安全團隊人工梳理很難全面獲取企業(yè)所有API資產(chǎn)信息及其應用狀態(tài)。一方面需要相關業(yè)務部門的協(xié)同支持；另一方面，需要通過自動或半自動化的工具全面檢測和識別企業(yè)網(wǎng)絡中的各類API資產(chǎn)，并根據(jù)企業(yè)自有規(guī)則進行精細化分類管理。

API安全不僅需要關注API自身的暴露面和漏洞信息、API的訪問權限精細化管理、日志監(jiān)控缺失等問題，還需要監(jiān)測通過API流轉的數(shù)據(jù)是否存在違規(guī)調(diào)用、敏感數(shù)據(jù)泄露、數(shù)據(jù)篡改等數(shù)據(jù)安全問題，企業(yè)應結合自身業(yè)務需求，合理規(guī)劃防護重點并選擇匹配的技術提供商。

對于業(yè)務部門來說，為了防護API安全而顯著影響業(yè)務系統(tǒng)的響應速度是不可接受的。因此，企業(yè)在進行廠商能力評估時需要重點關注產(chǎn)品的性能表現(xiàn)，尤其是面向對通信速度有較高要求的業(yè)務系統(tǒng)提供API安全防護時，更要做好速度、功能、穩(wěn)定性和一致性等多方面的平衡。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！