域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過(guò)
8 月 26 日,全球領(lǐng)先的IT研究和咨詢公司IDC發(fā)布了《IDC TechScape:中國(guó)數(shù)據(jù)安全技術(shù)發(fā)展路線圖,2022》,選取了 18 個(gè)新興及重要的數(shù)據(jù)安全技術(shù)進(jìn)行分析,并從變革型、遞增型和機(jī)會(huì)型技術(shù)三大類別,來(lái)呈現(xiàn)不同數(shù)據(jù)安全技術(shù)與服務(wù)的技術(shù)點(diǎn)、技術(shù)優(yōu)劣勢(shì)、發(fā)展階段、風(fēng)險(xiǎn)程度、市場(chǎng)熱度和標(biāo)桿廠商,幫助用戶了解和選擇適合其自身業(yè)務(wù)發(fā)展要求的數(shù)據(jù)安全產(chǎn)品與服務(wù)組合。
瑞數(shù)信息作為中國(guó)數(shù)據(jù)安全領(lǐng)域的中堅(jiān)力量,推出的API安全管控平臺(tái)將面向攻擊的主動(dòng)防御能力和AI智能數(shù)據(jù)分析能力全面融合,被列為IDC TechScape:數(shù)據(jù)安全變革性技術(shù)之API安全代表廠商。
API正在成為實(shí)現(xiàn)商業(yè)創(chuàng)新和數(shù)字化轉(zhuǎn)型的核心技術(shù)手段,其連接的已不僅是系統(tǒng)和數(shù)據(jù),還有企業(yè)、客戶、合作伙伴,甚至整個(gè)商業(yè)生態(tài),成為當(dāng)下網(wǎng)絡(luò)應(yīng)用流量的重要出入口,越來(lái)越多的攻擊者正利用API來(lái)實(shí)施自動(dòng)化的高效攻擊。
IDC指出,API安全日漸成為了一個(gè)重要的數(shù)據(jù)安全、應(yīng)用安全領(lǐng)域。目前,傳統(tǒng)在Web應(yīng)用安全 網(wǎng)關(guān)等產(chǎn)品中的API防護(hù)功能已經(jīng)不足以防護(hù)日益復(fù)雜的API攻擊,API安全應(yīng)站在全生命周期管理的角度,從API安全開(kāi)發(fā)和部署(API 測(cè)試等)開(kāi)始,配合加密、身份認(rèn)證、權(quán)限管控、API安全測(cè)試、檢測(cè)、監(jiān)測(cè)、威脅防護(hù)、威脅處理等能力來(lái)進(jìn)行管理和控制。
總體來(lái)看,最終用戶面臨的API安全防護(hù)困境主要集中在API資產(chǎn)梳理不全面、不準(zhǔn)確、開(kāi)發(fā)過(guò)程中的API測(cè)試能力較弱、安全配置錯(cuò)誤、身份認(rèn)證與權(quán)限管控失誤、加密失敗、運(yùn)行過(guò)程中持續(xù)的檢測(cè)監(jiān)測(cè)難、API 安全意識(shí)薄弱等問(wèn)題。
作為中國(guó)API安全代表廠商,瑞數(shù)信息基于用戶在API安全防護(hù)的痛點(diǎn),在技術(shù)路線上將主動(dòng)防御能力與AI智能數(shù)據(jù)分析能力進(jìn)行全面融合,由此推出了具有API感知、發(fā)現(xiàn)、監(jiān)測(cè)、保護(hù)能力的瑞數(shù)API安全管控平臺(tái),覆蓋API安全防護(hù)管理全生命周期。
有別于很多從API安全 網(wǎng)關(guān)角度切入的安全方案,瑞數(shù)API安全管控平臺(tái)著重強(qiáng)調(diào)API相關(guān)威脅的識(shí)別能力和防護(hù)能力的提升,以行為分析為基礎(chǔ)更細(xì)粒度、更準(zhǔn)確地識(shí)別風(fēng)險(xiǎn),實(shí)現(xiàn)從API接入客戶端到API服務(wù)器端的全程式API安全威脅防護(hù)。
具體而言,瑞數(shù)API安全管控平臺(tái)包括:API資產(chǎn)管理、攻擊防護(hù)、敏感數(shù)據(jù)管控、訪問(wèn)行為管控四大模塊,為API接口提供完整的安全管控方案。
API資產(chǎn)管理模塊:持續(xù)發(fā)現(xiàn)API接口,建立API清單,與業(yè)務(wù)方提供的API目錄進(jìn)行比對(duì),及時(shí)發(fā)現(xiàn)未知的API和僵尸API。自動(dòng)對(duì)API接口實(shí)現(xiàn)分類、分組、并指派責(zé)任人,實(shí)現(xiàn)數(shù)據(jù)分權(quán)管理。提取 API 接口的元數(shù)據(jù),為API接口提供可視化的詳情展示。
API攻擊防護(hù)模塊:基于已知業(yè)務(wù)邏輯和依賴關(guān)系定義API接口調(diào)用順序,防止繞過(guò)業(yè)務(wù)邏輯的訪問(wèn)行為,提前設(shè)置接口請(qǐng)求參數(shù)調(diào)用規(guī)則,拒絕非法的API請(qǐng)求參數(shù)調(diào)用,降低安全配置錯(cuò)誤,縮小攻擊面;支持API安全攻擊檢測(cè)和防護(hù),并引入語(yǔ)義分析技術(shù),進(jìn)一步提高檢測(cè)準(zhǔn)確性。
API敏感數(shù)據(jù)管控模塊:內(nèi)置敏感信息檢測(cè)引擎,覆蓋OWASP API Security Top10、姓名、手機(jī)號(hào)、身份證、銀行卡、密碼等 18 種敏感數(shù)據(jù)類型,對(duì)敏感信息進(jìn)行自動(dòng)分級(jí),實(shí)時(shí)洞察API接口中雙向傳輸?shù)拿舾袛?shù)據(jù)、明文密碼和弱密碼,并及時(shí)對(duì) API 接口回傳報(bào)文中的敏感信息進(jìn)行脫敏處理,規(guī)避數(shù)據(jù)泄漏風(fēng)險(xiǎn)。
異常行為監(jiān)控模塊:基于多維度實(shí)時(shí)監(jiān)控API接口的訪問(wèn)行為,包括訪問(wèn)成功率、耗時(shí)、TPS、并發(fā)數(shù)等維度,建立API訪問(wèn)基線,及時(shí)發(fā)現(xiàn)偏離基線的異常訪問(wèn)行為;內(nèi)置API 業(yè)務(wù)威脅模型,透視API常見(jiàn)的業(yè)務(wù)威脅,如:撞庫(kù)、爬蟲(chóng)等。
API訪問(wèn)控制模塊:內(nèi)置靈活的API訪問(wèn)控制策略,可基于API接口、源IP、訪問(wèn)頻率、客戶端指紋、API令牌、User Agent、HTTP請(qǐng)求特征等上百個(gè)元素,對(duì)API接口實(shí)現(xiàn)精細(xì)化的訪問(wèn)控制,支持對(duì)維度限頻、攔截、延時(shí)等。
瑞數(shù)API安全管控平臺(tái)不僅可以快速自動(dòng)地發(fā)現(xiàn)API,并且針對(duì)發(fā)現(xiàn)的API給出明確的認(rèn)定,還可以顯示出清晰的API列表,對(duì)API接口的訪問(wèn)情況一目了然。同時(shí),通過(guò)精準(zhǔn)地構(gòu)建API畫(huà)像,可以快速預(yù)覽各個(gè)業(yè)務(wù)的API情況,包括使用情況、異常情況、訪問(wèn)來(lái)源等,并且可根據(jù)行為分析的結(jié)果或指定條件,進(jìn)行動(dòng)態(tài)響應(yīng)防護(hù),提升通過(guò)逆向探測(cè)或機(jī)器學(xué)習(xí)分析等攻擊手段的難度。
瑞數(shù)API安全管控平臺(tái)已廣泛應(yīng)用于金融、快消、零售、運(yùn)營(yíng)商、能源等多個(gè)行業(yè),為企業(yè)實(shí)現(xiàn)API安全管控和數(shù)據(jù)安全提供有力支持。
入選IDC TechScape API安全技術(shù)推薦廠商的背后,是瑞數(shù)信息緊緊貼合市場(chǎng)趨勢(shì)與用戶需求,在技術(shù)上不斷精進(jìn)創(chuàng)新,長(zhǎng)期以來(lái)收獲了市場(chǎng)與用戶的認(rèn)可。未來(lái),瑞數(shù)信息將持續(xù)打磨API安全技術(shù)和方案,為用戶帶來(lái)實(shí)實(shí)在在的價(jià)值,助力企業(yè)合規(guī)建設(shè)數(shù)據(jù)安全,有效抵御API新興威脅。
申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!