當(dāng)前位置:首頁 >  IDC >  安全 >  正文

瑞數(shù)API安全管控平臺(tái)入選IDC具有代表性API安全產(chǎn)品

 2023-02-06 17:46  來源: 互聯(lián)網(wǎng)   我來投稿 撤稿糾錯(cuò)

  域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過

近日,IDC咨詢正式發(fā)布《中國(guó)API安全市場(chǎng)洞察,2022》報(bào)告,對(duì)中國(guó)API安全市場(chǎng)發(fā)展現(xiàn)狀及未來趨勢(shì)進(jìn)行觀察,并通過對(duì)行業(yè)用戶以及技術(shù)提供商的深入訪談,挑選出具有代表性的API安全相關(guān)產(chǎn)品和解決方案,供技術(shù)買家在進(jìn)行技術(shù)選擇時(shí)參考。

瑞數(shù)API安全管控平臺(tái)(API BotDefender)憑借自身的技術(shù)積累和行業(yè)優(yōu)勢(shì),被列為具有代表性的API安全產(chǎn)品之一。

IDC認(rèn)為,API作為數(shù)據(jù)流轉(zhuǎn)和使用的重要通道,承載著十分重要的責(zé)任。同時(shí),API的多樣性、復(fù)雜性在不斷增加,傳統(tǒng)基于網(wǎng)絡(luò)和主機(jī)邊界安全的防護(hù)技術(shù)無法充分應(yīng)對(duì)云計(jì)算和微服務(wù)技術(shù)下不斷彈性部署的業(yè)務(wù)安全需要,許多用戶在攻擊事件發(fā)生后才意識(shí)到API風(fēng)險(xiǎn)。因此,API資產(chǎn)的全面梳理和安全防護(hù)成為市場(chǎng)的迫切需求,API的安全建設(shè)也成為企業(yè)數(shù)字化創(chuàng)新的基礎(chǔ)保障。

IDC將API安全定義為專門為保護(hù)API通信免受誤用、濫用和漏洞利用而設(shè)計(jì)的解決方案,其所提供的功能包括API資產(chǎn)發(fā)現(xiàn)、驗(yàn)證和執(zhí)行,動(dòng)態(tài)和自適應(yīng)的流量監(jiān)測(cè)和模式分析、檢測(cè)和阻止威脅,例如惡意軟件、漏洞利用、代碼注入、機(jī)器人流量、DDoS攻擊、欺詐和濫用等。目前API安全多以API安全網(wǎng)關(guān)、API安全管理平臺(tái)等產(chǎn)品形式進(jìn)行交付。

IDC認(rèn)為,API的安全防護(hù)市場(chǎng)在中國(guó)還處于初步發(fā)展階段,產(chǎn)品和技術(shù)能力還需進(jìn)一步加強(qiáng)。目前,國(guó)內(nèi)眾多網(wǎng)絡(luò)安全廠商、數(shù)據(jù)安全廠商、云計(jì)算服務(wù)商、專業(yè)的API安全廠商紛紛布局API安全市場(chǎng),且各個(gè)廠商結(jié)合自己的技術(shù)積累和行業(yè)優(yōu)勢(shì)推出了各具特色的產(chǎn)品和解決方案。

瑞數(shù)API安全管控平臺(tái)(API BotDefender)

瑞數(shù)API 安全管控平臺(tái)(API BotDefender)能夠?qū)崿F(xiàn)從API接入的客戶端到API服務(wù)器端的全程式API安全威脅防護(hù)。不僅可以快速自動(dòng)地發(fā)現(xiàn)API,并且針對(duì)發(fā)現(xiàn)的API給出明確的認(rèn)定,還可以顯示出清晰的API列表,對(duì)API接口的訪問情況一目了然。同時(shí),通過精準(zhǔn)構(gòu)建API畫像,可以快速預(yù)覽各個(gè)業(yè)務(wù)的API情況,包括使用情況、異常情況、訪問來源等,并且可根據(jù)行為分析的結(jié)果或指定條件,調(diào)用動(dòng)態(tài)響應(yīng)機(jī)制對(duì)異常API請(qǐng)求進(jìn)行攔阻、限速或脫敏等,從而提升通過逆向探測(cè)或機(jī)器學(xué)習(xí)分析等攻擊手段的難度。

API資產(chǎn)管理模塊:基于大數(shù)據(jù)建模自動(dòng)發(fā)現(xiàn)API接口,自動(dòng)對(duì)API接口實(shí)現(xiàn)分類、分組、并指派責(zé)任人,實(shí)現(xiàn)數(shù)據(jù)分權(quán)管理。自動(dòng)提取API接口樣式,為API接口提供可視化的詳情展示,幫助客戶實(shí)現(xiàn)API資產(chǎn)的生命周期管理。

API攻擊防護(hù)模塊:基于智能威脅檢測(cè)引擎持續(xù)監(jiān)控并分析流量行為,用機(jī)器學(xué)習(xí)獲得的多種威脅模型來確定異常攻擊,同時(shí)利用語義分析和流量學(xué)習(xí)技術(shù),精準(zhǔn)、快速識(shí)別各類攻擊,包括OWASP API Security Top10的安全攻擊檢測(cè)、API安全參數(shù)合規(guī)檢測(cè)、API接口調(diào)用順序檢測(cè)。

API敏感數(shù)據(jù)管控模塊:內(nèi)置敏感信息檢測(cè)引擎,覆蓋姓名、手機(jī)號(hào)、身份證、銀行卡、密碼等18種敏感數(shù)據(jù)類型,對(duì)敏感信息進(jìn)行自動(dòng)分級(jí),實(shí)時(shí)洞察API接口中雙向傳輸?shù)拿舾袛?shù)據(jù)、明文密碼和弱密碼,并及時(shí)對(duì)API接口回傳報(bào)文中的敏感信息進(jìn)行脫敏處理,規(guī)避數(shù)據(jù)泄漏風(fēng)險(xiǎn)。

API異常行為監(jiān)控模塊:基于多維度實(shí)時(shí)監(jiān)控API接口的訪問行為,包括訪問成功率、耗時(shí)、 每秒事務(wù)處理量(TPS)、并發(fā)數(shù)等維度,建立API訪問基線,及時(shí)發(fā)現(xiàn)偏離基線的異常訪問 行為,及時(shí)發(fā)現(xiàn)未知的API和僵尸API。內(nèi)置API 業(yè)務(wù)威脅模型,透視API常見的業(yè)務(wù)威脅, 如撞庫、爬蟲等。

API訪問控制模塊:內(nèi)置靈活A(yù)PI訪問控制策略,可基于API接口、源互聯(lián)網(wǎng)協(xié)議地址 (IP)、訪問頻率、客戶端指紋、API令牌、客戶代理(UserAgent)、超文本傳輸協(xié)議 (HTTP )請(qǐng)求特征等上百個(gè)基礎(chǔ)要素和用戶交互行為特征,對(duì)API接口實(shí)現(xiàn)精細(xì)化的訪問控制,支持多維度限頻、攔截、延時(shí)等。

瑞數(shù)API安全管控平臺(tái)(API BotDefender)具備以下特點(diǎn):

全渠道感知:支持APP軟件開發(fā)工具包(SDK)、微信小程序SDK和WebJavaScript,方便與各類API來源應(yīng)用進(jìn)行集成,通過東西和南北向流量采集客戶端環(huán)境信息,對(duì)來源環(huán)境和用戶行為進(jìn)行感知,保障請(qǐng)求客戶端的合法性,同時(shí),為每個(gè)API客戶端生成唯一的指紋標(biāo)識(shí)。

API接口精準(zhǔn)識(shí)別:通過API接口識(shí)別模型對(duì)API接口可能性進(jìn)行打分,確保API接口的精準(zhǔn)識(shí)別,同時(shí)顯示清晰的API列表,對(duì)API接口的訪問情況一目了然,幫助用戶實(shí)現(xiàn)API資產(chǎn)生命周期管理。

創(chuàng)新敏感數(shù)據(jù)識(shí)別算法:大幅提升敏感數(shù)據(jù)識(shí)別速度和精準(zhǔn)度,幫助用戶快速實(shí)現(xiàn)API敏感數(shù)據(jù)識(shí)別和分類分級(jí)。

動(dòng)態(tài)訪問控制:支持動(dòng)態(tài)響應(yīng)防護(hù),包括定時(shí)器、地域鎖、按需攔截等多種訪問控制策略,提升通過逆向探測(cè)或機(jī)器學(xué)習(xí)分析等攻擊手段的難度。

——————————————————————————————————————

結(jié)合當(dāng)前中國(guó)API安全市場(chǎng)發(fā)展現(xiàn)狀及未來趨勢(shì),IDC為技術(shù)買家提供了以下幾點(diǎn)建議:

DevSecOps幫助企業(yè)將安全融入DevOps整體交付流程,從開始階段就將安全列為優(yōu)先事項(xiàng)。完整的API安全防護(hù)解決方案應(yīng)從API開發(fā)和部署開始,運(yùn)用SAST、DAST等手段在開發(fā)環(huán)節(jié)檢驗(yàn)安全漏洞和錯(cuò)誤配置的問題,幫助用戶從根源上降低API安全風(fēng)險(xiǎn)。

API資產(chǎn)的發(fā)現(xiàn)與管理是做好API安全的基礎(chǔ),但僅靠安全團(tuán)隊(duì)人工梳理很難全面獲取企業(yè)所有API資產(chǎn)信息及其應(yīng)用狀態(tài)。一方面需要相關(guān)業(yè)務(wù)部門的協(xié)同支持;另一方面,需要通過自動(dòng)或半自動(dòng)化的工具全面檢測(cè)和識(shí)別企業(yè)網(wǎng)絡(luò)中的各類API資產(chǎn),并根據(jù)企業(yè)自有規(guī)則進(jìn)行精細(xì)化分類管理。

API安全不僅需要關(guān)注API自身的暴露面和漏洞信息、API的訪問權(quán)限精細(xì)化管理、日志監(jiān)控缺失等問題,還需要監(jiān)測(cè)通過API流轉(zhuǎn)的數(shù)據(jù)是否存在違規(guī)調(diào)用、敏感數(shù)據(jù)泄露、數(shù)據(jù)篡改等數(shù)據(jù)安全問題,企業(yè)應(yīng)結(jié)合自身業(yè)務(wù)需求,合理規(guī)劃防護(hù)重點(diǎn)并選擇匹配的技術(shù)提供商。

對(duì)于業(yè)務(wù)部門來說,為了防護(hù)API安全而顯著影響業(yè)務(wù)系統(tǒng)的響應(yīng)速度是不可接受的。因此,企業(yè)在進(jìn)行廠商能力評(píng)估時(shí)需要重點(diǎn)關(guān)注產(chǎn)品的性能表現(xiàn),尤其是面向?qū)νㄐ潘俣扔休^高要求的業(yè)務(wù)系統(tǒng)提供API安全防護(hù)時(shí),更要做好速度、功能、穩(wěn)定性和一致性等多方面的平衡。

申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)標(biāo)簽
網(wǎng)絡(luò)安全

相關(guān)文章

  • 2023 年 6 月頭號(hào)惡意軟件:Qbot 成為 2023 年上半年最猖獗惡意軟件

    CheckPointResearch報(bào)告稱,多用途木馬Qbot是2023年上半年最猖獗的惡意軟件。與此同時(shí),移動(dòng)木馬SpinOk于6月份首次位居榜首,該惡意軟件在MOVEit暴出零日漏洞后開始肆虐2023年7月,全球領(lǐng)先的網(wǎng)絡(luò)安全解決方案提供商CheckPoint?軟件技術(shù)有限公司(納斯達(dá)克股票代碼

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • 華順信安榮獲“網(wǎng)絡(luò)空間安全產(chǎn)學(xué)協(xié)同育人優(yōu)秀案例”二等獎(jiǎng)

    7月6日,“第三屆網(wǎng)絡(luò)空間安全產(chǎn)學(xué)協(xié)同育人優(yōu)秀案例”評(píng)選活動(dòng)正式公布獲獎(jiǎng)名單,華順信安與湘潭大學(xué)計(jì)算機(jī)學(xué)院·網(wǎng)絡(luò)空間安全學(xué)院聯(lián)合申報(bào)的參選案例獲評(píng)優(yōu)秀案例二等獎(jiǎng)。本次活動(dòng)由教育部高等學(xué)校網(wǎng)絡(luò)空間安全專業(yè)教學(xué)指導(dǎo)委員會(huì)產(chǎn)學(xué)合作育人工作組主辦,四川大學(xué)與華中科技大學(xué)共同承辦。本次評(píng)選,華順信安與湘潭大學(xué)

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • Check Point:攻擊者通過合法email服務(wù)竊取用戶憑證信息

    近日,CheckPoint?軟件技術(shù)有限公司的研究人員對(duì)電子郵件安全展開調(diào)研,結(jié)果顯示憑證收集仍是主要攻擊向量,59%的報(bào)告攻擊與之相關(guān)。它還在商業(yè)電子郵件入侵(BEC)攻擊中發(fā)揮了重要作用,造成了15%的攻擊。同時(shí),在2023年一份針對(duì)我國(guó)電子郵件安全的第三方報(bào)告顯示,與證書/憑據(jù)釣魚相關(guān)的不法活

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • 百代OSS防勒索解決方案,打造領(lǐng)先安全生態(tài)體系

    Verizon發(fā)布的VerizonBusiness2022數(shù)據(jù)泄露調(diào)查報(bào)告顯示,勒索軟件在2022年同比增長(zhǎng)13%,增幅超過過去五年綜合。更危險(xiǎn)的是,今年又出現(xiàn)了許多新的勒索軟件即服務(wù)(RaaS)團(tuán)伙,例如Mindware、Onyx和BlackBasta,以及惡名昭著的勒索軟件運(yùn)營(yíng)商REvil的回歸

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • 2023 CCIA年度榜單出爐,華順信安三度蟬聯(lián)“中國(guó)網(wǎng)安產(chǎn)業(yè)成長(zhǎng)之星

    6月21日,中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟(CCIA)正式發(fā)布由網(wǎng)絡(luò)安全產(chǎn)業(yè)研究機(jī)構(gòu)“數(shù)說安全”提供研究支持的“2023年中國(guó)網(wǎng)安產(chǎn)業(yè)競(jìng)爭(zhēng)力50強(qiáng)、成長(zhǎng)之星、潛力之星”榜單。華順信安憑借行業(yè)內(nèi)優(yōu)秀的專業(yè)能力與強(qiáng)勁的核心競(jìng)爭(zhēng)力再次榮登“2023年中國(guó)網(wǎng)安產(chǎn)業(yè)成長(zhǎng)之星”榜單。據(jù)悉,中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟(CCIA)

    標(biāo)簽:
    網(wǎng)絡(luò)安全

熱門排行

信息推薦