联系我们
发布日期:2022/08/30文章来源:盛邦安全
8月26日,IDC 2022 CSO全球网络安全峰会(中国站)在上海隆重开幕,会上首次发布《IDC TechScape:中国数据安全发展路线图,2022》,旨在帮助用户构建全方位数据安全治理体系,以各项数据安全和密码技术在治理体系中的重点能力模块,赋能用户实现数据安全治理目标。盛邦安全入选变革型技术曲线“API安全”技术推荐厂商,是对盛邦安全在API安全技术领域持续创新与积累的重要认可。
本次发布的TechScape选取了18个新兴及重要的数据安全技术进行分析,根据技术的市场影响以及各技术的发展阶段将其分为变革型技术、主导型技术以及机会型技术三大类别。通过对每个数据安全领域单项技术的部署情况、风险程度、市场热度等内容进行细致的研究,针对每项技术给出三个推荐厂商,从而为最终用户在产品选型时提供技术参考。盛邦安全入选IDC中国数据安全发展路线图“API安全”技术推荐厂商。
API安全防护,应站在全生命周期管理的全局视角
《IDC TechScape:中国数据安全发展路线图,2022》报告显示,在当下应用程序蓬勃发展的时代, API通过集成应用软件的模式来更好地连接应用程序,已经成为了应用程序连接、创新的基础,是现代通信应用的重要组成部分,然而,API内在连接数据、内容的属性在给技术服务提供商和用户带来便利的同时,也开始被众多攻击者所关注,非授权访问、数据篡改与窃取、分布式拒绝服务、SQL注入等成为了攻击者运用API进行攻击的常用手段, API安全日渐成为了一个重要的数据安全、应用安全领域。
由于API的多样性、复杂性,一个应用程序也许会连接多个不同语言体系的 API,这无疑给最终用户的API安全防护造成了很大困扰,许多用户在攻击事件发生后才意识到了API风险。总体来看,最终用户面临的API安全防护困境主要集中在API资产梳理不全面、不准确、开发过程中的API测试能力较弱、安全配置错误、身份认证与权限管控失误、加密失败、运行过程中持续的检测监测难、API安全意识薄弱等问题。
IDC定义下的API安全,是一类帮助用户缓解和保护API相关安全风险的解决方案。目前,传统在Web应用安全网关等产品中的API防护功能已经不足以防护日益复杂的API攻击,API安全应站在全生命周期管理的角度,从API安全开发和部署(API测试等)开始,配合加密、身份认证、权限管控、API安全测试、检测、监测、威胁防护、威胁处理等能力来进行管理和控制。
盛邦安全API安全防护系统,助力数字时代的API安全治理
盛邦安全基于自身在网络资产治理与应用安全领域的技术积累,推出了集API资产梳理与加固保护于一体的安全防护型产品——API安全防护系统(RayAPI),在API学习画像的基础上,对其进行权限加固、攻击防护、数据保护和综合审计,提供全面的管控手段。
API安全防护体系建设思路
“我们可以看到,传统的依赖API网关与WAF、IPS等防护设备联动配合的方式,逐渐暴露出方案整合复杂程度高且针对性不足等缺点。在攻防实战中,用户对专用的API检测和防护设备的需求越来越明确。”盛邦安全API产品市场负责人说到,“正是因为看到市场端的需求变化,我们的研发团队开始深入研究如何让API安全检测更加精准,让API防护更加精确。”
五大核心技术能力,保障API应用安全无虞
为了应对不同环境下的各类安全需求,RayAPI逐渐形成了如下五个核心技术能力:
主被动结合的API学习引擎
采用主动探测与被动流量分析相结合的API学习引擎,可以全面梳理用户业务中存在的API资产,并结合流量特征进行语义提取,识别API状态、用途等属性,从而实现标签化的画像管理,自动梳理出正常API、影子API与问题API等内容;
启发式攻击检测与防护引擎
采用特征检测、语义分析与AI学习三合一的启发式检测引擎,通过已知的攻击规则与行为特征简化判断逻辑,并对引擎持续训练,提升针对未知风险的发现能力,从而对API相关的注入攻击、命令攻击、异常访问和非法内容进行防护处置;
基于人机识别的API访问控制
产品基于流量变化和行为特点等角度进行建模分析,梳理API访问的基线并进行动态跟踪,对未授权访问、未知请求、非法调用和异常高频请求等行为进行识别判断,并利用反向校验、访问限制和白名单等方式进行访问控制;
面向业务的API数据调用管控
产品采用全面的检查点和丰富的数据处理模型,能够结合业务特点来对组织敏感数据、个人隐私信息、业务关键信息和系统账户口令等数据进行精准识别、统计和分类梳理,并结合擦除、替换和访问限制等手段来达到脱敏保护等目的;
面向API全生命周期的态势监控
基于时间、空间、业务属性和数据类型等多种维度对API资产进行监控,对API上线状态、运行状况、调用可靠性、数据合法性以及威胁态势进行综合研判,实现API资产的细粒度审计和可视化分析。
IDC报告显示,从市场发展角度来看,API安全防护市场在中国还处于初步发展阶段,但未来随着攻击形势的不断变化和API应用的不断增多,API安全将成为一个重要的安全子市场得到快速发展。