运营商行业解决方案
首页 > 解决方案与案例 > 行业解决方案 > 运营商行业解决方案

运营商行业API安全防护系统解决方案

方案简介


方案以API安全监测与防护系统为核心,通过对访问流量进行分析,自动发现流量中的API接口,帮助用户快速梳理环境中未知API资产,并基于未知和已知API资产构建API资产画像;通过API资产画像,快速了解到API资产的访问行为以及存在的异常情况,针对性地进行安全防护和一键下线等操作。实现对API资产上线、资产变更和资产下线的全流程感知,构建API全生命周期安全防护方案。


方案背景


随着大数据时代到来,数据量指数级增长,数据成为经济基础中生产力必不可少的一部分,不仅具备生产价值,还具备较高的经济价值。因此,受经济利益诱惑驱使下,一些内外部不法分子,利用手中职权或各种隐蔽手段,企图大量获取敏感数据信息,来满足自己的不当利益。由此各类数据安全泄漏事故频发,数据安全面临严峻挑战;而已经发生数据泄漏的企业,也面临各类监管机构的高额罚款及严厉处罚,自身企业形象受到严重打击。

自2018年以来,两部委每年会对电信企业专业公司下发数据安全考核要求,并将接口安全管理作为考核要点之一,为进一步提升公司安全综合管理能力和安全建设能力,需确保接口安全性,符合监管单位合规性要求。

基于上述背景,运营商作为数字化转型的领头羊,更应关注API接口的业务安全。对 API进行全生命周期的监测防护,既有利于运营商安全地使用 API 所提供的服务,又能够为企业的隐私数据进行保驾护航。

 

解决方案


盛邦安全API防护系统通过对业务流量进行实时采集、建模数据分析全面识别合法API、涉密API、临时API等资产;结合深度学习及智能归并条件,剔除重复的噪音数据,进一步构建全方位、多维度的API资产画像。结合语义分析和内置防护规则库,可快速找到可疑流量并识别出攻击类型,实现对API数据保护和权限加固。在爆发安全事件时,可通过API资产责任人归属备案和完整的数据流信息实现对API安全事件的溯源审计,责权到人,真正做到事前有防护,事中能处置,事后可溯源。


运营商1.png


API资产发现与梳理

API安全管控平台通过对访问流量识别,自动发现流量中的API接口,实现API接口自动识别、梳理和分组。同时可以对识别请求和返回中的数据进行标签化管理,标签至少包含登录认证、数据查询、验证码、僵尸、body传参等不少于24个标签,并支持自定义添加标签。


API资产多维度画像

对单个API资产通过发现时间、活跃时间、异常调用、访问次数、请求方法、资产健康状态、访问日历(7天)维度进行全方位、多维度的API资产画像,构建单个API的访问视图。


API风险分析

通过实时流量监测分析当前API资产是否存在设计缺陷、组件是否存在漏洞攻击等风险。


API攻击防护

通过多引擎检测和内置防护规则,可识别各种针对API的安全攻击,并对安全攻击进行实时防护。


API权限加固

包括对API滥用防护、API盗用防护、API鉴权管理和BOT防护。


API数据保护

通过内置语义词库和自定义规则,可对涉敏、涉密的隐私信息进行识别防护、对非法受控的敏感词检测防护、对弱口令请求检测拦截和口令破解攻击防护。


API应急处置

API安全防护系统简化策略可在突发紧急情况下,可通过单一资产一键上下线、全局资产一键上下线或资产定时周期管理,保证用户数据安全。


API行为溯源

可通过风险事件记录、访问日志记录和审计日志对安全事件进行审计溯源画像,并支持通过syslog或第三方接口与其他安全设备对接转发数据。


API资产生命周期管理

基于发现的API进行分类管理,攻击防护,实现对API资产上线、资产变更和资产下线的全流程感知,构建API资产数据全生命周期管理。


方案优势


API资产识别准

通过主动探测和人工导入方式,结合标签化管理,全面梳理业务中的临时API、涉密API、僵尸API、影子API等资产;针对流量解析学习,基于特征提取API资产,并通过静态资源匹配过滤非API资产;可设定API资产学习深度及智能归并条件,剔除重复的噪音数据,提高资产识别准确率。


API防护手段强

系统围绕OWASP API TOP10设计,基于API风险对应解决方案,对应产品各个功能;采用智能语义分析的机器学习检测引擎,有效将 Web攻击检出率提升至99%以上,攻击检测准确率提升至99%以上;内置防护规则库充分利用已有积累,从Web安全切入来做API安全防护,用好自身优势。


API闭环管理全

参照盛邦安全资产治理“五步法”理念,从资产摸底的角度细化API识别、构建API资产画像、建立API资产备案到人、实现API风险实时检测与防护、全面提升应急响应能力。


特定场景差异化

支持行业的场景需求,可结合运营商API业务模型和数据分类,做场景化管理。


相关产品


API安全防护系统(RayAPI)

关于您的项目需求

关于您的项目需求

  • 获取短信验证码
点击“提交”,表明我理解并同意