在“万物皆可API”的时代,通过API快速构建产品和服务、迅速响应客户需求已是数字化企业的必备技能。但同时,API承载着越来越复杂的应用程序逻辑和越来越多敏感数据的特征,也使得API成为黑客攻击的重点目标,导致数据泄露事件频发。
API管控不当导致数据泄露事件频发 企业API安全建设势在必行
- 2023年1月,推特有2.35亿用户个人信息被泄露,其中包括用户的姓名、电子邮件地址、Twitter 手柄、粉丝数量和账户创建日期;
- 美国通信巨头T-Mobile被黑客通过未经授权的API,非法获得3700万用户个人信息;
- 法拉利、宝马、劳斯莱斯、保时捷等20家车企被爆出API安全漏洞,包括解锁、启动和跟踪汽车以及客户个人信息被泄露……
随着API安全造成的影响越来越大,API安全已受到了业界的广泛关注,开放Web应用程序安全项目(OWASP)在2019年就将API列为最受关注的十大安全问题。在今年,OWASP API TOP 10进一步更新了API安全风险,将“不受限访问敏感业务(Bot防护)、服务端请求伪造、API的不安全使用”列为新增的API安全风险。
这些风险很大程度来源于企业API管控不当,即企业不知道自身有多少API被开放,使用是否受控,有怎样的安全风险和隐患,从而使得API变成了企业网络安全薄弱的一环。
目前,我国《网络安全法》《个人信息保护法》《数据安全法》已正式施行,为各行业带来了更大力度的合规监管,这促使企业必须加强API安全建设,保障数据安全。
解决企业API管控乱象 瑞数信息推出全新API安全审计产品
瑞数API安全审计系统(API SecAudit),以API资产管理为重点、API安全审计为核心,帮助企业自动发现API资产、检测API安全攻击、识别API请求中的敏感据、监测API运行状态、审计API访问行为、识别API应用缺陷,提供丰富的API安全审计报告。
API安全审计系统技术独特性如下:
- 资产发现
支持从Swagger文件、表格等导入API资产,也可以通过对API流量分析,自动发现流量中的网站、端口、API资产和敏感接口等,支持自定义API 接口规则,快速、精准地进行API资产发现、API接口样式提并提供API接口可视化展示,支持API接口分类、分组并指派责任人,实现数据分权管理。
- 安全检测
支持对OWASP API Security Top10安全攻击的检测,从海量访问中快速发现和定位安全风险事件;通过AI技术实现API参数自学习和调用顺序自学习,满足合规检测要求,内置各种业务威胁模型,快速应对诸如爬虫、撞库等各类业务威胁。
- 行为检测
对API接口的请求、响应、参数和返回值等进行记录和分析,建立API访问基线,识别偏离基线和异常的访问行为,如:高频访问、内网应用访互联网等;同时,自动识别Bot访问行为,对Bot类型进行分类,更有效地实现访问行为审计,从而及时发现和解决问题,保证API接口的正常访问。
- 数据合规
内置敏感数据检测引擎,覆盖姓名、手机号、身份证、银行卡、密码等上百种敏感数据类型,内置电信和金融行业数据分级,支持敏感数据自动分级,实时洞察API接口中双向传输的敏感数据、明文密码和弱密码等数据泄漏风险,对API接口传输的敏感数据进行记录、分析和审查,以保证敏感数据的安全传输。
- 统计分析
瑞API安全审计系统内置丰富的API安全报表,底层还提供了大数据分析平台,无需二次开发,根据用户的个性化需求,快速生成报表,所见即所得。
- 联防联控
瑞数API安全审计系统提供了丰富的API接口,同时支持与kafka对接,实现与安全设备的联动,达到联防联控的目的。
助力中国API安全建设 瑞数API安全产品在多行业应用
瑞数信息作为国内首批具备“云原生API安全能力+WAAP能力”认证的专业厂商,连续多年入选Gartner、IDC等全球知名咨询机构评选的中国API领域代表厂商,充分展现了在API领域的强劲技术实力和市场表现。目前,瑞数API安全解决方案已广泛应用在金融、零售、医疗、政府、运营商等多个行业中。此次推出的瑞数API审计系统同样适用于各行业,尤其是有大量API应用,但防护手段单一、迫切需要API安全解决方案的企业。
作为国内最早推出API安全解决方案之一的厂商,瑞数信息于2019年就推出具有API感知、发现、监控、保护能力的API安全解决方案,并形成了瑞数API安全管控平台(API BotDefender),包括API资产管理、攻击防护、敏感数据管控和访问行为管控四大模块,为API接口提供完整的安全管控方案。如今,瑞数API审计系统正是瑞数API安全系列产品家族中的重要一员。
在API安全日益重要的今天,瑞数API安全审计系统的推出,能够更好地帮助企业应对未知威胁、发现API安全风险和缺陷,保证业务的正常高效运转。未来瑞数信息还将持续创新技术、产品和服务,进一步提升API安全能力,为企业有效抵御新兴威胁、合规建设应用安全和数据安全打下坚实基础。