优艾设计网

2021年API成重大威胁,如何保护企业API安全??

新冠疫病爆发以来,全球组织在数字变革中的步伐呈现出明显的加速趋势。谷歌发布的《2021API经济报告》指出,2020年,近四分之三的机构继续投资数字转型,其中三分之二的机构加大投资或进行战略调整,实行数字优先战略。

数字转型的核心是将组织的服务、资产和能力包装在互联网服务中,使资源之间形成更强的连接和交互关系,释放原有资产的价值,提高组织的服务能力,其中API是非常重要的技术。

随着数字化进程的发展,组织大量使用API。开发了越来越多的应用程序,开放结构在创新场景中的使用也在增加。有数据统计,整个网站有83%的流量通过API访问。数据显示,44%的企业正在建设和维护100个以上的API,API流量正在迅速增加。

API在带来巨大便利的同时,也带来了新的安全问题,很多企业不知道自己的API开放了多少,是否被控制使用和有效使用,有什么样的安全风险和危险,更不知道。API安全受到业界和学术界的广泛关注,开放网络应用安全项目(OWASP)在2019年将API列为最受关注的十大安全问题。2020年,中国人民银行发布了《商业银行APP接口安全管理规范》,三大运营商也相继发布了API安全管理规范。

API安全带来的影响越来越大,传统API安全网关的部署和维护成本高,无法有效防护新的安全威胁。在此背景下,瑞数信息创新地发布了API安全管理平台APIBotDefender,致力于解决API面临的各种安全风险和挑战,实现API理财、攻击防护、敏感数据管理和访问行为管理,保护业务创新。

API安全的常见解决方案

许多企业都会参照OWASP十大项目做安全防护,但2019年OWASP发布的API安全十大项目发布的时间较短,许多企业还没能及时作出相应防护。由于API安全涉及的范围比较广,一些常见的安全问题并没有被列入其中,即使是对应API安全十大项目作出防护仍会有一些不足。

API安全市场也处于相对早期阶段,从目前的API安全市场来看,主要有两类API安全解决方案:

第一种,API安全网关方案。

API技术的兴起伴随着技术架构上的变化,由于Http协议的问题造成了很大安全隐患。为了保障安全,需要开发者在开发阶段针对API加入鉴权、认证以及防篡改方面的安全工作。同时,应配置API网关等安全防护产品。

2015年前后,市场上出现了以独立的API网关为中心的API安全解决方案,但在实际应用中,该方案落地困难,成本高,企业倾向于使用应用开发人员建立的API网关,专业基于API网关的API安全方案没有取得预期的成功,API网关的产品形态继续发展。

在Gartner最新的WAF魔力象限中,提到了结合Web应用和API防护服务的最新趋势WAAPP,这是一个集DDoS、Bot缓解、API防护和WAF于一体的安全防护平台。Gartner打算结合WAF和API防护能力,很多WAF制造商开始在WAF中整合API网关。

作为安全产品形态的自然进化,其主要问题是缺乏数据分析和管理能力。

第二种是基于数据分析的API安全方案。

通过AI技术分析API访问行为,发现A优艾设计网_Photoshop问答PI的各种异常访问行为,提供API的管理。与API安全网关方案相比,该方案缺乏安全威胁的预防管理能力。

瑞数信息应对之路瑞数API安全管理平台

瑞数信息于2019年推出具有API感知、发现、监视、保护能力的API安全解决方案,今年将该能力集中在API安全管理的4个核心功能上,形成瑞数API安全管理平台(API的BotDefender)作为国内最早发表API安全管理解决方案之一的制造商,它充分体现了瑞数信息对市场的观察和理解:

瑞数信息API安全管理平台,主要面向新兴的API安全风险,弥补了传统方案的不足。在技术路线上,不是选择传统的API网关技术,而是结合WAF的安全管理能力和数据安全分析能力,是结合上述两种API安全方案优势的新方案

理财模块

通过引入API理财,实现对API资产的统一管理。API理财是根据数据建模自动发现被保护网站的API资产,对API资产进行梳理、分析和上下线,帮助客户实现API资产的生命周期管理。

攻击防护模块

综合利用智能规则匹配和行为分析的智能威胁检测引擎,不断监控和分析流量行为,有效检测威胁攻击。智能化威胁检测引擎在用户与应用互动的过程中搜集数据,并利用统计模型来确定HTTP请求的异常。一旦确定异常情况,智能发动机就会使用机器学习获得的多种威胁模式来确定异常攻击。

敏感数据管理模块

识别API传输中的敏感数据,对敏感数据进行脱敏或实时拦截,防止敏感数据泄漏。

  访问行为管控模块

对API接口的访问行为进行分析,通过多维度建立API访问基线、API威胁建模,发现恶意访问行为,避免恶意 访问造成的业务损失。

  主要应用场景

  API资产自动发现

API安全管控平台通过对访问流量进行分析,自动发现流量中的API接口,实现API接口自动识别、梳理和分组。

API攻击防护

识别各种针对API的安全攻击,对安全攻击进行实时防护;对API请求参数进行合规管控,对不符合规范的请求参数实时管控。

API流量监视和保护

监视API的访问行为,保护高频状况等,防止高频状况等引起的API性能瓶颈。

非法API调用防护

通过从API网关获得API认证和认证数据,防止未经许可的API调用,保障API接口只能合法访问。

API滥用防护

防止API接口被滥用以获利。

API资产生命周期管理

对发现的API界面进行生命周期管理,基于关键词搜索功能快速分组,分组后对API资产指定负责人,实现API资产的导入和导出,资产的上下线。

API敏感数据管理

识别API传输中的敏感数据,模糊或实时拦截敏感数据,防止敏感数据泄漏。

未知API发现

通过API网关获取API注册数据,与API资产进行比较,发现未知API界面,防止未知API访问带来的业务访问压力,业务无法使用。

API访问行为管控

监控API界面访问和使用情况,包括成功率、性能等,通过建立多维访问基础和API威胁建模,监控基础偏离情况,有效识别异常访问行为,避免恶意访问造成的业务损失。

核心优势

瑞数API安全管理平台(API小姐BotDefender)可实现从API访问客户端到API服务器端的全过程API安全威胁保护。

API全自动发现

瑞数API安全管理平台(API上BotDefender)的Discover发现模块,可以快速自动发现API,并对发现的API进行明确认定

构建API图像

瑞数API安全管理平台(API-BotDefender)采用安全威胁保护技术,正确构建API图像

API全渠道感知

提供各种SDK,便于与各种API来源应用程序整合,够感知来源环境和用户行为。

动态响应防护

可根据行为分析的结果或指定条件,进行动态响应防护,提升通过逆向探测或机器学习分析等攻击手段的难度。

此外,瑞数API安全管控平台的部署方式非常灵活,支持软件、硬件和云的方式进行部署,可以大大降低部署、管理和维护成本。同时,占有资源少,不影响服务器的正常运行,可实现应用无感知配置。

目前,API安全问题在金融、政府、职业三大行业备受瞩目,瑞数API安全管理平台也以其突出的技术实力和防护能力,在该三大行业成功应用,全面帮助用户解决API安全水平的各种问题,保护业务创新和稳定

0

上一篇:

下一篇:

精彩评论

暂无评论...
验证码 换一张
取 消

最新问答

问答排行榜