当前位置:首页 >  IDC >  安全 >  正文

瑞数API安全管控平台入选IDC具有代表性API安全产品

 2023-02-06 17:46  来源: 互联网   我来投稿 撤稿纠错

  【推荐】海外独服/站群服务器/高防

近日,IDC咨询正式发布《中国API安全市场洞察,2022》报告,对中国API安全市场发展现状及未来趋势进行观察,并通过对行业用户以及技术提供商的深入访谈,挑选出具有代表性的API安全相关产品和解决方案,供技术买家在进行技术选择时参考。

瑞数API安全管控平台(API BotDefender)凭借自身的技术积累和行业优势,被列为具有代表性的API安全产品之一。

IDC认为,API作为数据流转和使用的重要通道,承载着十分重要的责任。同时,API的多样性、复杂性在不断增加,传统基于网络和主机边界安全的防护技术无法充分应对云计算和微服务技术下不断弹性部署的业务安全需要,许多用户在攻击事件发生后才意识到API风险。因此,API资产的全面梳理和安全防护成为市场的迫切需求,API的安全建设也成为企业数字化创新的基础保障。

IDC将API安全定义为专门为保护API通信免受误用、滥用和漏洞利用而设计的解决方案,其所提供的功能包括API资产发现、验证和执行,动态和自适应的流量监测和模式分析、检测和阻止威胁,例如恶意软件、漏洞利用、代码注入、机器人流量、DDoS攻击、欺诈和滥用等。目前API安全多以API安全网关、API安全管理平台等产品形式进行交付。

IDC认为,API的安全防护市场在中国还处于初步发展阶段,产品和技术能力还需进一步加强。目前,国内众多网络安全厂商、数据安全厂商、云计算服务商、专业的API安全厂商纷纷布局API安全市场,且各个厂商结合自己的技术积累和行业优势推出了各具特色的产品和解决方案。

瑞数API安全管控平台(API BotDefender)

瑞数API 安全管控平台(API BotDefender)能够实现从API接入的客户端到API服务器端的全程式API安全威胁防护。不仅可以快速自动地发现API,并且针对发现的API给出明确的认定,还可以显示出清晰的API列表,对API接口的访问情况一目了然。同时,通过精准构建API画像,可以快速预览各个业务的API情况,包括使用情况、异常情况、访问来源等,并且可根据行为分析的结果或指定条件,调用动态响应机制对异常API请求进行拦阻、限速或脱敏等,从而提升通过逆向探测或机器学习分析等攻击手段的难度。

API资产管理模块:基于大数据建模自动发现API接口,自动对API接口实现分类、分组、并指派责任人,实现数据分权管理。自动提取API接口样式,为API接口提供可视化的详情展示,帮助客户实现API资产的生命周期管理。

API攻击防护模块:基于智能威胁检测引擎持续监控并分析流量行为,用机器学习获得的多种威胁模型来确定异常攻击,同时利用语义分析和流量学习技术,精准、快速识别各类攻击,包括OWASP API Security Top10的安全攻击检测、API安全参数合规检测、API接口调用顺序检测。

API敏感数据管控模块:内置敏感信息检测引擎,覆盖姓名、手机号、身份证、银行卡、密码等18种敏感数据类型,对敏感信息进行自动分级,实时洞察API接口中双向传输的敏感数据、明文密码和弱密码,并及时对API接口回传报文中的敏感信息进行脱敏处理,规避数据泄漏风险。

API异常行为监控模块:基于多维度实时监控API接口的访问行为,包括访问成功率、耗时、 每秒事务处理量(TPS)、并发数等维度,建立API访问基线,及时发现偏离基线的异常访问 行为,及时发现未知的API和僵尸API。内置API 业务威胁模型,透视API常见的业务威胁, 如撞库、爬虫等。

API访问控制模块:内置灵活API访问控制策略,可基于API接口、源互联网协议地址 (IP)、访问频率、客户端指纹、API令牌、客户代理(UserAgent)、超文本传输协议 (HTTP )请求特征等上百个基础要素和用户交互行为特征,对API接口实现精细化的访问控制,支持多维度限频、拦截、延时等。

瑞数API安全管控平台(API BotDefender)具备以下特点:

全渠道感知:支持APP软件开发工具包(SDK)、微信小程序SDK和WebJavaScript,方便与各类API来源应用进行集成,通过东西和南北向流量采集客户端环境信息,对来源环境和用户行为进行感知,保障请求客户端的合法性,同时,为每个API客户端生成唯一的指纹标识。

API接口精准识别:通过API接口识别模型对API接口可能性进行打分,确保API接口的精准识别,同时显示清晰的API列表,对API接口的访问情况一目了然,帮助用户实现API资产生命周期管理。

创新敏感数据识别算法:大幅提升敏感数据识别速度和精准度,帮助用户快速实现API敏感数据识别和分类分级。

动态访问控制:支持动态响应防护,包括定时器、地域锁、按需拦截等多种访问控制策略,提升通过逆向探测或机器学习分析等攻击手段的难度。

——————————————————————————————————————

结合当前中国API安全市场发展现状及未来趋势,IDC为技术买家提供了以下几点建议:

DevSecOps帮助企业将安全融入DevOps整体交付流程,从开始阶段就将安全列为优先事项。完整的API安全防护解决方案应从API开发和部署开始,运用SAST、DAST等手段在开发环节检验安全漏洞和错误配置的问题,帮助用户从根源上降低API安全风险。

API资产的发现与管理是做好API安全的基础,但仅靠安全团队人工梳理很难全面获取企业所有API资产信息及其应用状态。一方面需要相关业务部门的协同支持;另一方面,需要通过自动或半自动化的工具全面检测和识别企业网络中的各类API资产,并根据企业自有规则进行精细化分类管理。

API安全不仅需要关注API自身的暴露面和漏洞信息、API的访问权限精细化管理、日志监控缺失等问题,还需要监测通过API流转的数据是否存在违规调用、敏感数据泄露、数据篡改等数据安全问题,企业应结合自身业务需求,合理规划防护重点并选择匹配的技术提供商。

对于业务部门来说,为了防护API安全而显著影响业务系统的响应速度是不可接受的。因此,企业在进行厂商能力评估时需要重点关注产品的性能表现,尤其是面向对通信速度有较高要求的业务系统提供API安全防护时,更要做好速度、功能、稳定性和一致性等多方面的平衡。

申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!

相关标签
网络安全

相关文章

  • 2023 年 6 月头号恶意软件:Qbot 成为 2023 年上半年最猖獗恶意软件

    CheckPointResearch报告称,多用途木马Qbot是2023年上半年最猖獗的恶意软件。与此同时,移动木马SpinOk于6月份首次位居榜首,该恶意软件在MOVEit暴出零日漏洞后开始肆虐2023年7月,全球领先的网络安全解决方案提供商CheckPoint®软件技术有限公司(纳斯达克股票代码

    标签:
    网络安全
  • 华顺信安荣获“网络空间安全产学协同育人优秀案例”二等奖

    7月6日,“第三届网络空间安全产学协同育人优秀案例”评选活动正式公布获奖名单,华顺信安与湘潭大学计算机学院·网络空间安全学院联合申报的参选案例获评优秀案例二等奖。本次活动由教育部高等学校网络空间安全专业教学指导委员会产学合作育人工作组主办,四川大学与华中科技大学共同承办。本次评选,华顺信安与湘潭大学

    标签:
    网络安全
  • Check Point:攻击者通过合法email服务窃取用户凭证信息

    近日,CheckPoint®软件技术有限公司的研究人员对电子邮件安全展开调研,结果显示凭证收集仍是主要攻击向量,59%的报告攻击与之相关。它还在商业电子邮件入侵(BEC)攻击中发挥了重要作用,造成了15%的攻击。同时,在2023年一份针对我国电子邮件安全的第三方报告显示,与证书/凭据钓鱼相关的不法活

    标签:
    网络安全
  • 百代OSS防勒索解决方案,打造领先安全生态体系

    Verizon发布的VerizonBusiness2022数据泄露调查报告显示,勒索软件在2022年同比增长13%,增幅超过过去五年综合。更危险的是,今年又出现了许多新的勒索软件即服务(RaaS)团伙,例如Mindware、Onyx和BlackBasta,以及恶名昭著的勒索软件运营商REvil的回归

    标签:
    网络安全
  • 2023 CCIA年度榜单出炉,华顺信安三度蝉联“中国网安产业成长之星

    6月21日,中国网络安全产业联盟(CCIA)正式发布由网络安全产业研究机构“数说安全”提供研究支持的“2023年中国网安产业竞争力50强、成长之星、潜力之星”榜单。华顺信安凭借行业内优秀的专业能力与强劲的核心竞争力再次荣登“2023年中国网安产业成长之星”榜单。据悉,中国网络安全产业联盟(CCIA)

    标签:
    网络安全

热门排行

信息推荐