自新冠疫情爆發(fā)以來，全球范圍內(nèi)的組織在數(shù)字化轉(zhuǎn)型上的步伐呈現(xiàn)明顯加速趨勢。谷歌發(fā)布的《2021 API 經(jīng)濟(jì)報(bào)告》中指出，在2020年，近四分之三的組織繼續(xù)在數(shù)字化轉(zhuǎn)型上投資，其中，三分之二的組織加大投資或作出戰(zhàn)略調(diào)整，實(shí)行數(shù)字優(yōu)先戰(zhàn)略。

  數(shù)字化轉(zhuǎn)型的核心是將組織的服務(wù)、資產(chǎn)和能力打包成互聯(lián)網(wǎng)服務(wù)，從而讓資源之間形成更強(qiáng)的連接和互動(dòng)關(guān)系，釋放原有資產(chǎn)的價(jià)值，提升組織的服務(wù)能力，這其中，API是非常關(guān)鍵的技術(shù)。

  隨著數(shù)字化進(jìn)程的發(fā)展，組織正在大量使用API。越來越多的APP被開發(fā)出來，開放架構(gòu)在創(chuàng)新場景中的使用也越來越多。有數(shù)據(jù)統(tǒng)計(jì)，整個(gè)Web網(wǎng)站有83%的流量是通過API來訪問的。也有數(shù)據(jù)顯示，44%企業(yè)正在建造和維護(hù)100個(gè)或更多的API，API流量正在快速增長。

  API在帶來巨大便利的同時(shí)也帶來了新的安全問題， 很多企業(yè)甚至自己的不知道有多少API被開放，是否受控使用和有效使用，有怎樣的安全風(fēng)險(xiǎn)和隱患，就更不得而知。API安全正受到業(yè)界和學(xué)術(shù)界的廣泛關(guān)注，開放Web應(yīng)用程序安全項(xiàng)目(OWASP)在2019年將API列為最受關(guān)注的十大安全問題。2020年，中國人民銀行發(fā)布了《商業(yè)銀行應(yīng)用程序接口安全管理規(guī)范》，三大運(yùn)營商也相繼發(fā)布了API安全管理規(guī)范。

  API安全造成的影響越來越大，而傳統(tǒng)API安全網(wǎng)關(guān)的部署與維護(hù)成本高，無法有效防護(hù)新興安全威脅。在此背景下，瑞數(shù)信息創(chuàng)新地推出了API安全管控平臺——API BotDefender，致力于解決API面臨的各種安全風(fēng)險(xiǎn)與挑戰(zhàn)，實(shí)現(xiàn)API的資產(chǎn)管理、攻擊防護(hù)、敏感數(shù)據(jù)管控和訪問行為管控，為業(yè)務(wù)創(chuàng)新保駕護(hù)航。

  API安全的常見解決方案

  許多企業(yè)都會(huì)參照OWASP十大項(xiàng)目做安全防護(hù)，但2019年OWASP發(fā)布的API安全十大項(xiàng)目發(fā)布的時(shí)間較短，許多企業(yè)還沒能及時(shí)作出相應(yīng)防護(hù)。由于API安全涉及的范圍比較廣，一些常見的安全問題并沒有被列入其中，即使是對應(yīng)API安全十大項(xiàng)目作出防護(hù)仍會(huì)有一些不足。

  API安全市場也處于相對早期階段，從目前的API安全市場來看，主要有兩類API安全解決方案:

  第一種，API安全網(wǎng)關(guān)方案。

  API技術(shù)的興起伴隨著技術(shù)架構(gòu)上的變化，由于Http協(xié)議的問題造成了很大安全隱患。為了保障安全，需要開發(fā)者在開發(fā)階段針對API加入鑒權(quán)、認(rèn)證以及防篡改方面的安全工作。同時(shí)，需要API網(wǎng)關(guān)之類的安全防護(hù)產(chǎn)品作出相應(yīng)配置。

  2015年前后，市場上出現(xiàn)了以獨(dú)立的API網(wǎng)關(guān)為主的API安全解決方案，但在實(shí)際應(yīng)用中發(fā)現(xiàn)，這種方案落地困難且成本較高，企業(yè)更傾向于使用應(yīng)用開發(fā)者自建的API網(wǎng)關(guān)，專業(yè)的基于API網(wǎng)關(guān)的API安全方案沒有獲得預(yù)想的成功，于是API網(wǎng)關(guān)的產(chǎn)品形態(tài)還在繼續(xù)演進(jìn)。

  在Gartner最新的WAF魔力象限中，提到了Web應(yīng)用程序和API防護(hù)服務(wù)相結(jié)合的最新趨勢——WAAP，這是一種集合了DDoS、Bot緩解，API防護(hù)和WAF的安全防護(hù)平臺。Gartner有意將WAF與API防護(hù)能力結(jié)合起來，使得許多WAF廠商開始在WAF里集成API網(wǎng)關(guān)。

  作為安全產(chǎn)品形態(tài)上的一種自然而然的演化，它的主要問題在于缺少數(shù)據(jù)分析和管理的能力。

  第二種，基于數(shù)據(jù)分析的API安全方案。

  通過AI技術(shù)對API的訪問行為進(jìn)行分析，發(fā)現(xiàn)API的各種異常訪問行為，提供API的管理。與API安全網(wǎng)關(guān)方案相比，此方案缺少的是安全威脅防控能力。

  瑞數(shù)信息的應(yīng)對之道——瑞數(shù)API安全管控平臺(API BotDefender)

  瑞數(shù)信息于2019年就推出具有API感知、發(fā)現(xiàn)、監(jiān)控、保護(hù)能力的API安全解決方案，今年更將此能力聚焦于API安全管控的4大核心功能，形成——瑞數(shù)API安全管控平臺(API BotDefender)，該平臺包括API資產(chǎn)管理、攻擊防護(hù)、敏感數(shù)據(jù)管控和訪問行為管控四大模塊，為API接口提供完整的安全管控方案。作為國內(nèi)最早推出API安全管控解決方案之一的廠商，它充分體現(xiàn)了瑞數(shù)信息對于市場的觀察和理解：

  瑞數(shù)信息API安全管控平臺，主要面向新興的API安全風(fēng)險(xiǎn)，彌補(bǔ)了傳統(tǒng)方案中的不足。技術(shù)路線上，沒有選擇傳統(tǒng)的API網(wǎng)關(guān)技術(shù)，而是將WAF的安全管控能力與數(shù)據(jù)安全分析能力進(jìn)行結(jié)合，是一種結(jié)合了以上兩種API安全方案優(yōu)勢的全新方案。

  資產(chǎn)管理模塊

  通過引入API資產(chǎn)管理，實(shí)現(xiàn)對API資產(chǎn)的統(tǒng)一管理。API資產(chǎn)管理基于數(shù)據(jù)建模自動(dòng)發(fā)現(xiàn)被保護(hù)站點(diǎn)的API資產(chǎn)，對API資產(chǎn)進(jìn)行梳理、分析和上下線，幫助客戶實(shí)現(xiàn)API資產(chǎn)的生命周期管理。

  攻擊防護(hù)模塊

  綜合利用智能規(guī)則匹配及行為分析的智能威脅檢測引擎，持續(xù)監(jiān)控并分析流量行為，有效檢測威脅攻 擊。智能威脅檢測引擎在用戶與應(yīng)用程序交互的過程中收集數(shù)據(jù)，并利用統(tǒng)計(jì)模型來確定HTTP請求的異常。一旦確定異常情況，智能引擎就會(huì)使用機(jī)器學(xué)習(xí)獲得的多種威脅模型來確定異常攻擊。

  敏感數(shù)據(jù)管控模塊

  對API傳輸中的敏感數(shù)據(jù)進(jìn)行識別，針對敏感數(shù)據(jù)可以進(jìn)行脫敏或者實(shí)時(shí)攔截，防止敏感數(shù)據(jù)泄露。

  訪問行為管控模塊

  對API接口的訪問行為進(jìn)行分析，通過多維度建立API訪問基線、API威脅建模，發(fā)現(xiàn)惡意訪問行為，避免惡意 訪問造成的業(yè)務(wù)損失。

  主要應(yīng)用場景

  API資產(chǎn)自動(dòng)發(fā)現(xiàn)

  API安全管控平臺通過對訪問流量進(jìn)行分析，自動(dòng)發(fā)現(xiàn)流量中的API接口，實(shí)現(xiàn)API接口自動(dòng)識別、梳理和分組。

  API攻擊防護(hù)

  識別各種針對API的安全攻擊，對安全攻擊進(jìn)行實(shí)時(shí)防護(hù);對API請求參數(shù)進(jìn)行合規(guī)管控，對不符合規(guī)范的請求參數(shù)實(shí)時(shí)管控。

  API流量監(jiān)控與保護(hù)

  監(jiān)控API的訪問行為，針對高頻情況等進(jìn)行防護(hù)，防止高頻情況等造成的API性能瓶頸。

  非法API調(diào)用防護(hù)

  通過從API網(wǎng)關(guān)上獲取API認(rèn)證和鑒權(quán)數(shù)據(jù)，防止未授權(quán)的API調(diào)用，保障API接口只能被合法用 戶訪問。

  API濫用防護(hù)

  針對API接口，防止其被濫用并用于謀取利益。

  API資產(chǎn)生命周期管理

  對發(fā)現(xiàn)的API接口進(jìn)行生命周期管理，基于關(guān)鍵字搜索功能快速分組，并且對分組后的 API資產(chǎn)指定責(zé)任人，實(shí)現(xiàn)API資產(chǎn)的導(dǎo)入和導(dǎo)出、資產(chǎn)上下線。

  API敏感數(shù)據(jù)管控

  對API傳輸中的敏感數(shù)據(jù)進(jìn)行識別，針對敏感數(shù)據(jù)可以進(jìn)行模糊化或者實(shí)時(shí)攔截，防止敏感數(shù)據(jù)泄露。

  未知API發(fā)現(xiàn)

  通過從API網(wǎng)關(guān)上獲取API注冊數(shù)據(jù)，與API資產(chǎn)進(jìn)行對比，發(fā)現(xiàn)未知API接口，防止未知API 訪問造成的業(yè)務(wù)訪問壓力，導(dǎo)致業(yè)務(wù)不可用。

  API訪問行為管控

  監(jiān)控API接口的訪問和使用狀況，包括成功率、性能等，通過建立多維度訪問基線和API威脅建模，監(jiān)控基線偏離狀況，高效識別異常訪問行為，避免惡意訪問造成的業(yè)務(wù)損失。

  核心優(yōu)勢

  瑞數(shù)API安全管控平臺(API BotDefender)，能夠?qū)崿F(xiàn)從API接入客戶端到API服務(wù)器端的全程式API安全威脅防護(hù)。

  API全自動(dòng)發(fā)現(xiàn)

  瑞數(shù)API安全管控平臺(API BotDefender)的“Discover發(fā)現(xiàn)模塊”，可以快速自動(dòng)地發(fā)現(xiàn)API，并且針對發(fā)現(xiàn)的API給出明確的認(rèn)定;同時(shí)，顯示出清晰的API列表，對API接口的訪問情況一目了然。

  構(gòu)建API畫像

  瑞數(shù)API安全管控平臺 (API BotDefender)，采用全程式安全威脅防護(hù)技術(shù)，從而利于精準(zhǔn)地構(gòu)建API畫像;通過API畫像，可以快速預(yù)覽各個(gè)業(yè)務(wù)的API情況，包括使用情況、異常情況、訪問來源等。

  API全渠道感知

  提供各種SDK，方便與各類API來源應(yīng)用進(jìn)行集成，可以對來源環(huán)境和用戶行為進(jìn)行感知。

  動(dòng)態(tài)響應(yīng)防護(hù)

  可根據(jù)行為分析的結(jié)果或指定條件，進(jìn)行動(dòng)態(tài)響應(yīng)防護(hù)，提升通過逆向探測或機(jī)器學(xué)習(xí)分析等攻擊手段的難度。

  此外，瑞數(shù)API安全管控平臺的部署方式非常靈活，支持軟件、硬件和云的方式進(jìn)行部署，可以大大降低部署、管理和維護(hù)成本。同時(shí)，占用資源少，不影響服務(wù)器的正常運(yùn)行，可以實(shí)現(xiàn)應(yīng)用無感知部署。

  目前，API安全問題在金融、政府、運(yùn)營商三大行業(yè)獲得了廣泛的關(guān)注，瑞數(shù)API安全管控平臺也憑借其突出的技術(shù)實(shí)力和防護(hù)能力，在該三大行業(yè)成功應(yīng)用，全面助力用戶解決API安全層面的各類問題，為業(yè)務(wù)的創(chuàng)新和穩(wěn)定進(jìn)行保駕護(hù)航!

申請創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！