4166am金沙信心之選4月18日，國(guó)內(nèi)數(shù)字化產(chǎn)業(yè)第三方調(diào)研與咨詢機(jī)構(gòu)數(shù)世咨詢正式發(fā)布《API安全市場(chǎng)指南報(bào)告》(以下簡(jiǎn)稱《報(bào)告》)，對(duì)API在數(shù)字時(shí)代可能面臨的種種安全風(fēng)險(xiǎn)予以分析解讀。

　　綠盟科技300369）API產(chǎn)品在市場(chǎng)執(zhí)行力和應(yīng)用創(chuàng)新力排名中名列前茅，獲評(píng)能力企業(yè)(綜合業(yè)務(wù)廠商)。

　　注：《報(bào)告》中所指綜合業(yè)務(wù)廠商針對(duì)業(yè)務(wù)范圍廣泛，并不局限于API安全產(chǎn)品，通常將API安全產(chǎn)品與其他安全產(chǎn)品集成形成更全面的解決方案，滿足客戶多樣化的安全需求。

　　《報(bào)告》指出，綠盟科技在安全領(lǐng)域擁有多年經(jīng)驗(yàn)和技術(shù)積累，能夠提供成熟的安全解決方案。同時(shí)在安全市場(chǎng)擁有龐大的客戶群體和市場(chǎng)份額，具有較強(qiáng)的品牌影響力和市場(chǎng)競(jìng)爭(zhēng)力。

　　隨著互聯(lián)網(wǎng)應(yīng)用的不斷多元化和復(fù)雜化，應(yīng)用服務(wù)化已經(jīng)成為一個(gè)顯著的趨勢(shì)。在越來(lái)越多的場(chǎng)景中，API被廣泛應(yīng)用于應(yīng)用架構(gòu)中，用于應(yīng)用間的數(shù)據(jù)傳輸和控制。同時(shí)，隨著傳輸數(shù)據(jù)量和敏感性的增加，API面臨著越來(lái)越頻繁和多樣化的攻擊。因此，API安全已經(jīng)成為眾多企業(yè)高度關(guān)注的問(wèn)題。為了保護(hù)數(shù)據(jù)安全，《信息安全技術(shù)個(gè)人信息安全規(guī)范》《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》相繼出臺(tái)。在各種法律法規(guī)、國(guó)標(biāo)行標(biāo)中，都能看到API作為數(shù)據(jù)接口，在數(shù)據(jù)的傳輸、使用、共享階段所起到的作用和需要解決的安全問(wèn)題。

　　與此同時(shí)，隨著API的使用越來(lái)越多，也有越來(lái)越多的攻擊專門針對(duì)API而來(lái)。2023年6月，本田動(dòng)力設(shè)備的電商平臺(tái)存在API漏洞，攻擊者可為任何賬戶重置密碼。2022年7月，Twitter的一個(gè)API漏洞，導(dǎo)致數(shù)百萬(wàn)用戶數(shù)據(jù)被泄露。CVE官網(wǎng)上，與API相關(guān)漏洞已達(dá)三千多個(gè)，逐漸形成了以API為媒介的軟件供應(yīng)鏈安全風(fēng)險(xiǎn)。各行各業(yè)由于自身業(yè)務(wù)的特點(diǎn)和技術(shù)的應(yīng)用，也面臨著不同的API安全威脅。

　　綠盟科技API安全解決方案參照國(guó)際通用NIST架構(gòu)，從識(shí)別，檢測(cè)，防護(hù)，響應(yīng)4個(gè)方面，共同保護(hù)客戶API不受安全風(fēng)險(xiǎn)的困擾。并通過(guò)API安全運(yùn)營(yíng)平臺(tái)，提供統(tǒng)一可視化展示平臺(tái)，匯總各維度數(shù)據(jù)與事件，方便對(duì)API進(jìn)行運(yùn)營(yíng)管理。

　　綠盟科技API風(fēng)險(xiǎn)檢測(cè)能力，通過(guò)全流量DPI能力，從網(wǎng)絡(luò)流量中自動(dòng)識(shí)別API資產(chǎn)，生成詳細(xì)的API資產(chǎn)清單，包括API的類型、訪問(wèn)地址、關(guān)聯(lián)應(yīng)用等詳細(xì)信息。采用多種異常檢測(cè)模型，包括基于規(guī)則和行為分析的模型，確保高效準(zhǔn)確識(shí)別異常行為，避免敏感數(shù)據(jù)被泄露。內(nèi)置API脆弱性檢測(cè)策略，監(jiān)控API流量，實(shí)時(shí)識(shí)別和報(bào)告API自身脆弱性漏洞，覆蓋OWASP API Security Top10，防止攻擊者通過(guò)API進(jìn)行內(nèi)網(wǎng)滲透。并通過(guò)全流量留存能力，方便事后進(jìn)行審計(jì)和溯源。

　　綠盟科技API安全防護(hù)能力，內(nèi)置豐富的API防護(hù)規(guī)則，針對(duì)十?dāng)?shù)種不同類型的web攻擊特征進(jìn)行防護(hù)。且通過(guò)個(gè)性化的模板進(jìn)行封裝，一鍵應(yīng)用，快速生效，可有效防護(hù)對(duì)API的注入攻擊、開(kāi)源框架漏洞攻擊、遠(yuǎn)程命令執(zhí)行攻擊等。同時(shí)通過(guò)自動(dòng)化工具識(shí)別技術(shù)，避免黑灰產(chǎn)對(duì)API的濫用，邏輯漏洞利用或者批量爆破登錄接口等操作。基于準(zhǔn)確的檢測(cè)引擎，可快速阻止針對(duì)API的攻擊行為和調(diào)用。避免攻擊者對(duì)于API的利用。

　　隨著應(yīng)用上云和云原生的不斷發(fā)展，API安全防護(hù)能力進(jìn)化出了云原生API安全的防護(hù)能力。不僅支持daemonset、deployment等多種部署模式，還能適配Kubernetes、Openshift和Service Mesh等多種云原生管理框架。

　　綠盟科技API漏洞掃描能力，能夠針對(duì)獲取的API資產(chǎn)進(jìn)行漏洞掃描。通過(guò)專門的API漏洞掃描模板，主動(dòng)構(gòu)造攻擊特征進(jìn)行API漏洞發(fā)現(xiàn)，覆蓋OWASP API TOP102019、2023的漏洞。還能通過(guò)爬蟲技術(shù)，自動(dòng)爬取目標(biāo)站點(diǎn)的API，進(jìn)行API資產(chǎn)識(shí)別，形成單獨(dú)的API資產(chǎn)數(shù)據(jù)及資產(chǎn)列表，進(jìn)行資產(chǎn)管理。并提供API漏洞掃描報(bào)告，包含API詳情和風(fēng)險(xiǎn)詳情等。

　　綠盟科技API訪問(wèn)控制能力，可以按需對(duì)API進(jìn)行訪問(wèn)控制，提供細(xì)粒度、自定義、貼合業(yè)務(wù)流程的API訪問(wèn)與數(shù)據(jù)傳輸控制點(diǎn)。通過(guò)豐富的授權(quán)模型，可以保證在不同場(chǎng)景下根據(jù)限定API訪問(wèn)權(quán)限，還能按需對(duì)API傳輸數(shù)據(jù)進(jìn)行脫敏。也能通過(guò)API審計(jì)能力，記錄賬號(hào)對(duì)于API、數(shù)據(jù)的訪問(wèn)詳細(xì)信息，發(fā)現(xiàn)不合規(guī)的數(shù)據(jù)調(diào)用、脫敏不充分、敏感數(shù)據(jù)泄露等場(chǎng)景。

　　API是應(yīng)用與數(shù)據(jù)的表現(xiàn)形式，通過(guò)API安全運(yùn)營(yíng)平臺(tái)將不同維度的API安全能力集成進(jìn)行統(tǒng)一可視化展示，不僅可以以綜合全面的視角了解API安全的風(fēng)險(xiǎn)，還能進(jìn)行統(tǒng)一的處置響應(yīng)動(dòng)作。API具有不可見(jiàn)性，安全風(fēng)險(xiǎn)不容易被察覺(jué)，通過(guò)可視化平臺(tái)可提供API流轉(zhuǎn)視圖，將數(shù)據(jù)、API、應(yīng)用、調(diào)用方關(guān)聯(lián)起來(lái)，更容易發(fā)現(xiàn)潛在的安全風(fēng)險(xiǎn)。

　　綠盟科技深耕API安全多年，配合多年的攻防實(shí)戰(zhàn)經(jīng)驗(yàn)，形成一套覆蓋全生命周期，包含檢測(cè)、防護(hù)、分析、響應(yīng)的API安全解決方案。覆蓋API資產(chǎn)管理、攻擊檢測(cè)、異常行為分析、濫用識(shí)別、脆弱性發(fā)現(xiàn)、訪問(wèn)控制等能力，同時(shí)也在不斷地探索API安全的外延場(chǎng)景與創(chuàng)新的技術(shù)方案。API經(jīng)濟(jì)為業(yè)務(wù)帶來(lái)價(jià)值的同時(shí)，也存在著各種各樣的安全風(fēng)險(xiǎn)。由于API不可見(jiàn)的特性，很容易成為安全體系建設(shè)中的“灰犀?！?。綠盟科技API安全解決方案致力于貼合行業(yè)場(chǎng)景，切實(shí)解決API所引入的安全問(wèn)題。

　　投資者關(guān)系關(guān)于同花順軟件下載法律聲明運(yùn)營(yíng)許可聯(lián)系我們友情鏈接招聘英才用戶體驗(yàn)計(jì)劃

　　不良信息舉報(bào)電話舉報(bào)郵箱：增值電信業(yè)務(wù)經(jīng)營(yíng)許可證：B2-20090237