API安全“芯”方案丨芯盾時(shí)代APISEC安全平臺(tái) 助力企業(yè)構(gòu)建API安全管理體系
2021年4月,Linkedln曝出驚天數(shù)據(jù)泄露事件,7億用戶(hù)資料被黑客通過(guò)API漏洞竊取;2022年2月,國(guó)內(nèi)某招聘平臺(tái)的API漏洞遭人利用,被秘密爬取2.1億余條個(gè)人信息;2023年1月,2億Twitter用戶(hù)數(shù)據(jù)被以2美元的價(jià)格出售,數(shù)據(jù)流出的渠道仍舊是API漏洞……這些事件不過(guò)當(dāng)前嚴(yán)峻API安全形勢(shì)的冰山一角。一方面,隨著微服務(wù)架構(gòu)的普及、開(kāi)發(fā)向低代碼/無(wú)代碼轉(zhuǎn)變,API的應(yīng)用持續(xù)擴(kuò)大。據(jù)統(tǒng)計(jì),API請(qǐng)求已占所有應(yīng)用請(qǐng)求的83%,預(yù)計(jì)2024年API請(qǐng)求命中數(shù)將達(dá)到42萬(wàn)億次。另一方面,API攻擊暴增。2021年API攻擊流量增長(zhǎng)了681%,而整體API流量增長(zhǎng)了321%。既要API的開(kāi)放,又要API的安全,成為了企業(yè)開(kāi)展數(shù)字化業(yè)務(wù)的“兩難困境”。企業(yè)到底面臨哪些API安全難題,這些難題從何而來(lái),企業(yè)又該如何應(yīng)對(duì),芯盾時(shí)代作為領(lǐng)先的零信任業(yè)務(wù)安全產(chǎn)品方案提供商,給出了自己的答案~
3.測(cè)不出:API攻擊難發(fā)現(xiàn)難以掌控的API資產(chǎn)與難以發(fā)現(xiàn)的API漏洞會(huì)持續(xù)擴(kuò)大應(yīng)用程序攻擊面,讓攻擊者更容易進(jìn)行偵察、收集配置信息以及策劃網(wǎng)絡(luò)攻擊。面對(duì)難以發(fā)現(xiàn)的API攻擊,企業(yè)不但需要防范已知攻擊,還要及時(shí)對(duì)未知攻擊做出響應(yīng),這要求API安全產(chǎn)品不但要具備豐富的威脅模型,還要具備應(yīng)對(duì)未知風(fēng)險(xiǎn)的能力。4.攔不住:敏感數(shù)據(jù)難感知當(dāng)前,利用API竊取敏感數(shù)據(jù)并進(jìn)行業(yè)務(wù)欺詐已經(jīng)成為黑客最常用的攻擊方式之一。如果企業(yè)不能識(shí)別敏感數(shù)據(jù),對(duì)數(shù)據(jù)進(jìn)行脫敏、加密處理,無(wú)異于放任數(shù)據(jù)在API這條“數(shù)據(jù)公路”上“裸奔”,一旦流量被截獲、破解,后果不堪設(shè)想。因此,企業(yè)必須構(gòu)建對(duì)敏感數(shù)據(jù)的識(shí)別、溯源能力,保證數(shù)據(jù)被安全的調(diào)用、傳輸。
平臺(tái)基于流量分析構(gòu)建API資產(chǎn)畫(huà)像,從全局API資產(chǎn)、應(yīng)用API信息、單個(gè)API三種粒度,以可視化的方式展現(xiàn)應(yīng)用和API數(shù)量、API訪(fǎng)問(wèn)情況、漏洞風(fēng)險(xiǎn)分類(lèi)、敏感數(shù)據(jù)類(lèi)別、API訪(fǎng)問(wèn)基線(xiàn)等信息,為企業(yè)建立“全局可視、單點(diǎn)清晰”的API資產(chǎn)管理體系。
2.API漏洞管理基于豐富的API漏洞庫(kù),APISEC安全平臺(tái)能夠自動(dòng)檢測(cè)API安全漏洞,對(duì)漏洞進(jìn)行分析、定級(jí),給出可行的漏洞修補(bǔ)方案,實(shí)現(xiàn)對(duì)漏洞的閉環(huán)管理。借助漏洞檢測(cè)功能,企業(yè)可以未雨綢繆,按照先高風(fēng)險(xiǎn)等級(jí)、后低風(fēng)險(xiǎn)等級(jí)的次序修補(bǔ)漏洞,降低被攻擊的可能性。平臺(tái)支持OWASP API TOP 10,以及Web漏洞的檢測(cè),支持漏洞庫(kù)的持續(xù)升級(jí)。3.API攻擊監(jiān)測(cè)APISEC安全平臺(tái)能夠?qū)崟r(shí)監(jiān)控API訪(fǎng)問(wèn)情況,分析流量數(shù)據(jù),通過(guò)內(nèi)置的API威脅模型識(shí)別賬號(hào)暴力破解、未授權(quán)訪(fǎng)問(wèn)等風(fēng)險(xiǎn)行為,通過(guò)機(jī)器學(xué)習(xí)技術(shù)對(duì)攻擊進(jìn)行建模、學(xué)習(xí),持續(xù)擴(kuò)展對(duì)攻擊行為的檢測(cè)能力,智能識(shí)別更多種針對(duì)API的新型攻擊,精準(zhǔn)的發(fā)出攻擊報(bào)警。安全人員可借助平臺(tái)對(duì)攻擊進(jìn)行分析、溯源,實(shí)現(xiàn)對(duì)API風(fēng)險(xiǎn)行為的全生命周期管理。
4.敏感數(shù)據(jù)感知芯盾時(shí)代APISEC安全平臺(tái)內(nèi)置敏感數(shù)據(jù)檢測(cè)引擎,覆蓋姓名、手機(jī)號(hào)、身份證、銀行卡號(hào)等敏感數(shù)據(jù)類(lèi)型。安全人員可自定義敏感數(shù)據(jù)識(shí)別規(guī)則,實(shí)時(shí)洞察API接口中雙向傳輸?shù)拿舾袛?shù)據(jù),并及時(shí)對(duì)報(bào)文中的敏感數(shù)據(jù)進(jìn)行脫敏處理。平臺(tái)支持對(duì)敏感事件的訪(fǎng)問(wèn)取證,安全人員可對(duì)敏感數(shù)據(jù)進(jìn)行追蹤溯源,提升對(duì)數(shù)據(jù)的管控能力。
有了芯盾時(shí)代APISEC安全平臺(tái),企業(yè)的API管理更規(guī)范、更智能、更高效,能夠及時(shí)發(fā)現(xiàn)和處理潛在的API安全和數(shù)據(jù)安全問(wèn)題,確保API生態(tài)環(huán)境的安全可靠,保證數(shù)字化業(yè)務(wù)的安全穩(wěn)定運(yùn)行。
API安全難題:摸不清,看不準(zhǔn),測(cè)不出,攔不住
API作為應(yīng)用程序之間的交互接口,不但在傳統(tǒng)的CS應(yīng)用、第三方通信之中占有重要地位,也是微服務(wù)之間重要的通信方式。隨著微服務(wù)架構(gòu)的快速普及,企業(yè)與企業(yè)之間、程序與程序之間數(shù)據(jù)流通日益頻繁,加之企業(yè)業(yè)務(wù)應(yīng)用的持續(xù)擴(kuò)充和迭代,企業(yè)普遍面臨以下API安全問(wèn)題。1.摸不清:API資產(chǎn)難管理由于一個(gè)應(yīng)用程序往往有多個(gè)類(lèi)型不同的API,復(fù)雜應(yīng)用的接口更是可達(dá)10萬(wàn)級(jí),企業(yè)必須管理龐大的API資產(chǎn)。隨著業(yè)務(wù)應(yīng)用的持續(xù)增加,API數(shù)量爆發(fā)式增加,導(dǎo)致很多企業(yè)一不清楚自己有多少API,二不了解API處于什么狀態(tài),系統(tǒng)中存在大量影子API、僵尸API。面對(duì)異常龐雜的API資產(chǎn),如果單純依靠人工進(jìn)行資產(chǎn)梳理,企業(yè)根本無(wú)法了解API資產(chǎn)的真是情況,更無(wú)從掌握API面臨的安全風(fēng)險(xiǎn)。2.看不透:API漏洞難發(fā)現(xiàn)API安全是網(wǎng)絡(luò)安全的新興領(lǐng)域,OWSAP在2019年才第一次推出了API Security Top 10。因此,企業(yè)的安全人員對(duì)API安全的理解往往不夠深入,市場(chǎng)上也缺乏具備豐富經(jīng)驗(yàn)的人員來(lái)幫助企業(yè)進(jìn)行API安全建設(shè),導(dǎo)致API在開(kāi)發(fā)和使用中存在安全漏洞。盡管OWSAP每年都會(huì)更新API Security Top 10,企業(yè)也難以及時(shí)發(fā)現(xiàn)漏洞并進(jìn)行修補(bǔ)。3.測(cè)不出:API攻擊難發(fā)現(xiàn)難以掌控的API資產(chǎn)與難以發(fā)現(xiàn)的API漏洞會(huì)持續(xù)擴(kuò)大應(yīng)用程序攻擊面,讓攻擊者更容易進(jìn)行偵察、收集配置信息以及策劃網(wǎng)絡(luò)攻擊。面對(duì)難以發(fā)現(xiàn)的API攻擊,企業(yè)不但需要防范已知攻擊,還要及時(shí)對(duì)未知攻擊做出響應(yīng),這要求API安全產(chǎn)品不但要具備豐富的威脅模型,還要具備應(yīng)對(duì)未知風(fēng)險(xiǎn)的能力。4.攔不住:敏感數(shù)據(jù)難感知當(dāng)前,利用API竊取敏感數(shù)據(jù)并進(jìn)行業(yè)務(wù)欺詐已經(jīng)成為黑客最常用的攻擊方式之一。如果企業(yè)不能識(shí)別敏感數(shù)據(jù),對(duì)數(shù)據(jù)進(jìn)行脫敏、加密處理,無(wú)異于放任數(shù)據(jù)在API這條“數(shù)據(jù)公路”上“裸奔”,一旦流量被截獲、破解,后果不堪設(shè)想。因此,企業(yè)必須構(gòu)建對(duì)敏感數(shù)據(jù)的識(shí)別、溯源能力,保證數(shù)據(jù)被安全的調(diào)用、傳輸。
芯盾時(shí)代APISEC安全平臺(tái)
芯盾時(shí)代作為領(lǐng)先的零信任業(yè)務(wù)安全產(chǎn)品方案提供商,以AI技術(shù)賦能API安全,基于對(duì)企業(yè)API安全需求的深刻理解與對(duì)API安全威脅的前沿研究,打造了APISEC安全平臺(tái),通過(guò)API資產(chǎn)管控、API漏洞檢測(cè)、流量分析、機(jī)器學(xué)習(xí)等核心技術(shù),幫助用戶(hù)梳理API資產(chǎn)、完成API畫(huà)像、掃描API漏洞,發(fā)現(xiàn)攻擊行為、檢測(cè)敏感數(shù)據(jù),建立資產(chǎn)摸得清、漏洞看得透、攻擊測(cè)得出、數(shù)據(jù)攔得住的API風(fēng)險(xiǎn)監(jiān)測(cè)體系,保障企業(yè)業(yè)務(wù)系統(tǒng)的安全和穩(wěn)定運(yùn)行。芯盾時(shí)代APISEC安全平臺(tái),具備以下功能——1.API資產(chǎn)梳理APISEC安全平臺(tái)能夠基于結(jié)合機(jī)器學(xué)習(xí)的API流量基線(xiàn)與自主研發(fā)的劃分引擎,自動(dòng)、持續(xù)發(fā)現(xiàn)API資產(chǎn),對(duì)API進(jìn)行分類(lèi),以功能、應(yīng)用等多種維度聚合同類(lèi)API,形成分類(lèi)明確、路徑清晰的API資產(chǎn)樹(shù),讓企業(yè)的API資產(chǎn)各歸其類(lèi),一眼即明。平臺(tái)支持多文件導(dǎo)入,便于新應(yīng)用、新版本API資源的快速上傳,與API自動(dòng)發(fā)現(xiàn)形成互補(bǔ),讓企業(yè)的API資產(chǎn)管理更規(guī)范。平臺(tái)基于流量分析構(gòu)建API資產(chǎn)畫(huà)像,從全局API資產(chǎn)、應(yīng)用API信息、單個(gè)API三種粒度,以可視化的方式展現(xiàn)應(yīng)用和API數(shù)量、API訪(fǎng)問(wèn)情況、漏洞風(fēng)險(xiǎn)分類(lèi)、敏感數(shù)據(jù)類(lèi)別、API訪(fǎng)問(wèn)基線(xiàn)等信息,為企業(yè)建立“全局可視、單點(diǎn)清晰”的API資產(chǎn)管理體系。2.API漏洞管理基于豐富的API漏洞庫(kù),APISEC安全平臺(tái)能夠自動(dòng)檢測(cè)API安全漏洞,對(duì)漏洞進(jìn)行分析、定級(jí),給出可行的漏洞修補(bǔ)方案,實(shí)現(xiàn)對(duì)漏洞的閉環(huán)管理。借助漏洞檢測(cè)功能,企業(yè)可以未雨綢繆,按照先高風(fēng)險(xiǎn)等級(jí)、后低風(fēng)險(xiǎn)等級(jí)的次序修補(bǔ)漏洞,降低被攻擊的可能性。平臺(tái)支持OWASP API TOP 10,以及Web漏洞的檢測(cè),支持漏洞庫(kù)的持續(xù)升級(jí)。3.API攻擊監(jiān)測(cè)APISEC安全平臺(tái)能夠?qū)崟r(shí)監(jiān)控API訪(fǎng)問(wèn)情況,分析流量數(shù)據(jù),通過(guò)內(nèi)置的API威脅模型識(shí)別賬號(hào)暴力破解、未授權(quán)訪(fǎng)問(wèn)等風(fēng)險(xiǎn)行為,通過(guò)機(jī)器學(xué)習(xí)技術(shù)對(duì)攻擊進(jìn)行建模、學(xué)習(xí),持續(xù)擴(kuò)展對(duì)攻擊行為的檢測(cè)能力,智能識(shí)別更多種針對(duì)API的新型攻擊,精準(zhǔn)的發(fā)出攻擊報(bào)警。安全人員可借助平臺(tái)對(duì)攻擊進(jìn)行分析、溯源,實(shí)現(xiàn)對(duì)API風(fēng)險(xiǎn)行為的全生命周期管理。4.敏感數(shù)據(jù)感知芯盾時(shí)代APISEC安全平臺(tái)內(nèi)置敏感數(shù)據(jù)檢測(cè)引擎,覆蓋姓名、手機(jī)號(hào)、身份證、銀行卡號(hào)等敏感數(shù)據(jù)類(lèi)型。安全人員可自定義敏感數(shù)據(jù)識(shí)別規(guī)則,實(shí)時(shí)洞察API接口中雙向傳輸?shù)拿舾袛?shù)據(jù),并及時(shí)對(duì)報(bào)文中的敏感數(shù)據(jù)進(jìn)行脫敏處理。平臺(tái)支持對(duì)敏感事件的訪(fǎng)問(wèn)取證,安全人員可對(duì)敏感數(shù)據(jù)進(jìn)行追蹤溯源,提升對(duì)數(shù)據(jù)的管控能力。有了芯盾時(shí)代APISEC安全平臺(tái),企業(yè)的API管理更規(guī)范、更智能、更高效,能夠及時(shí)發(fā)現(xiàn)和處理潛在的API安全和數(shù)據(jù)安全問(wèn)題,確保API生態(tài)環(huán)境的安全可靠,保證數(shù)字化業(yè)務(wù)的安全穩(wěn)定運(yùn)行。
往期 · 推薦
中能傳媒丨芯盾時(shí)代創(chuàng)始人、CTO孫悅:零信任助推電力企業(yè)數(shù)字化發(fā)展
API安全是數(shù)字經(jīng)濟(jì)時(shí)代企業(yè)數(shù)據(jù)安全保護(hù)的重要一環(huán)
【喜訊】芯盾時(shí)代入選《API安全產(chǎn)品及服務(wù)購(gòu)買(mǎi)指南》 以零信任破解API安全難題
【喜訊】芯盾時(shí)代入選《2022中國(guó)網(wǎng)絡(luò)安全十大創(chuàng)新方向》API安全防護(hù)典型廠(chǎng)商
原文標(biāo)題:API安全“芯”方案丨芯盾時(shí)代APISEC安全平臺(tái) 助力企業(yè)構(gòu)建API安全管理體系
文章出處:【微信公眾號(hào):芯盾時(shí)代】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。
聲明:本文內(nèi)容及配圖由入駐作者撰寫(xiě)或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀(guān)點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場(chǎng)。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問(wèn)題,請(qǐng)聯(lián)系本站處理。
舉報(bào)投訴
-
芯盾時(shí)代
+關(guān)注
關(guān)注
0文章
277瀏覽量
2148
原文標(biāo)題:API安全“芯”方案丨芯盾時(shí)代APISEC安全平臺(tái) 助力企業(yè)構(gòu)建API安全管理體系
文章出處:【微信號(hào):trusfort,微信公眾號(hào):芯盾時(shí)代】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
熱點(diǎn)推薦
芯盾時(shí)代中標(biāo)全球家居品牌企業(yè)
芯盾時(shí)代中標(biāo)全球家居品牌企業(yè)!芯盾時(shí)代運(yùn)用零信任網(wǎng)絡(luò)
夯實(shí)國(guó)產(chǎn)供應(yīng)鏈安全、踐行功能安全體系,納芯微再獲更高等級(jí)功能安全管理體系認(rèn)證
納芯微功能安全管理體系通過(guò)TüV萊茵審核,獲ISO 26262 ASIL D "Defined-Practiced"認(rèn)證,涵蓋國(guó)產(chǎn)首顆功能安全ABS輪速傳感器
芯盾時(shí)代入選嘶吼2025網(wǎng)絡(luò)安全產(chǎn)業(yè)圖譜
近日,嘶吼安全產(chǎn)業(yè)研究院正式發(fā)布了《嘶吼2025網(wǎng)絡(luò)安全產(chǎn)業(yè)圖譜》。芯盾時(shí)代作為領(lǐng)先的零信任業(yè)務(wù)安全
芯盾時(shí)代助力贛州銀行構(gòu)建全渠道數(shù)字安全防護(hù)體系
芯盾時(shí)代中標(biāo)贛州銀行,基于自主研發(fā)的設(shè)備指紋產(chǎn)品,通過(guò)集成運(yùn)營(yíng)商UAID能力實(shí)現(xiàn)跨渠道設(shè)備ID統(tǒng)一,并具備實(shí)時(shí)風(fēng)險(xiǎn)監(jiān)測(cè)、反欺詐攔截等功能,有效解決 “數(shù)據(jù)孤島” 和黑灰產(chǎn)攻擊等風(fēng)險(xiǎn),為贛州銀行
芯盾時(shí)代中標(biāo)易事特集團(tuán)統(tǒng)一身份認(rèn)證管理項(xiàng)目
芯盾時(shí)代中標(biāo)易事特集團(tuán)統(tǒng)一身份認(rèn)證管理項(xiàng)目,助力集團(tuán)在信息化數(shù)字化管理領(lǐng)域再邁關(guān)鍵一步。
芯盾時(shí)代連續(xù)十一次入選安全牛《中國(guó)網(wǎng)絡(luò)安全行業(yè)全景圖》
近日,國(guó)內(nèi)知名網(wǎng)絡(luò)安全媒體安全牛正式發(fā)布《中國(guó)網(wǎng)絡(luò)安全行業(yè)全景圖(第十二版)》(以下簡(jiǎn)稱(chēng)“全景圖”)。芯盾
芯盾時(shí)代全場(chǎng)景身份治理解決方案助力企業(yè)提升業(yè)務(wù)安全
芯盾時(shí)代中標(biāo)某人壽保險(xiǎn),持續(xù)深化業(yè)務(wù)安全項(xiàng)目合作。芯盾時(shí)代
進(jìn)芯電子通過(guò)ISO 26262道路車(chē)輛功能安全管理體系認(rèn)證
近日,進(jìn)芯電子成功獲頒“ISO 26262 道路車(chē)輛功能安全管理體系認(rèn)證證書(shū)”,此次認(rèn)證標(biāo)志著進(jìn)芯電子在功能安全
芯盾時(shí)代助力打造金融安全新范式
芯盾時(shí)代中標(biāo)吉林省農(nóng)村信用社(以下簡(jiǎn)稱(chēng)“吉林農(nóng)信”)?設(shè)備指紋平臺(tái),交易安全保護(hù)系統(tǒng)等項(xiàng)目?。芯
芯盾時(shí)代助力打造智慧醫(yī)療安全新標(biāo)桿
芯盾時(shí)代中標(biāo)?安徽醫(yī)科大學(xué)第二附屬醫(yī)院(以下簡(jiǎn)稱(chēng)“安醫(yī)二附院”)!芯盾時(shí)代基于零信任
動(dòng)態(tài) | 芯森電子開(kāi)展ISO45001職業(yè)健康安全管理體系培訓(xùn)
,芯森電子在公司內(nèi)部成功舉辦了一場(chǎng)ISO45001職業(yè)健康安全管理體系培訓(xùn)活動(dòng)。ISO45001是全球首個(gè)職業(yè)健康安全國(guó)際標(biāo)準(zhǔn),旨在幫助企業(yè)
芯盾時(shí)代榮登17項(xiàng)細(xì)分領(lǐng)域榜單
安全、數(shù)據(jù)安全治理(解決方案)、API安全、商用密碼、UEBA、攻防演練、車(chē)聯(lián)網(wǎng)、移動(dòng)業(yè)務(wù)安全、
芯盾時(shí)代入選《API安全技術(shù)應(yīng)用指南(2024版)》API安全十大代表性廠(chǎng)商
近日,國(guó)內(nèi)知名網(wǎng)絡(luò)安全媒體安全牛正式發(fā)布《API安全技術(shù)應(yīng)用指南(2024版)》報(bào)告,幫助用戶(hù)更好地開(kāi)展API
芯盾時(shí)代API安全監(jiān)測(cè)平臺(tái)榮獲WitAwards 2024年度大獎(jiǎng)
近日,由國(guó)內(nèi)專(zhuān)業(yè)的網(wǎng)絡(luò)安全行業(yè)門(mén)戶(hù)FreeBuf主辦的FCIS 2024網(wǎng)絡(luò)安全創(chuàng)新大會(huì)在上海隆重舉行。會(huì)上,F(xiàn)reeBuf公布了WitAwards 2024獲獎(jiǎng)名單。芯盾
芯盾時(shí)代為匯豐石化集團(tuán)構(gòu)建用戶(hù)身份與訪(fǎng)問(wèn)管理平臺(tái)
芯盾時(shí)代中標(biāo)山東匯豐石化集團(tuán)有限公司(簡(jiǎn)稱(chēng):匯豐石化集團(tuán))!芯盾時(shí)代基于零信任
工商網(wǎng)監(jiān)
評(píng)論