盛邦安全入選IDC TechScape中國數據安全發展路線圖推薦廠商,為API安全治理提供新思路
責編:gltian |2022-09-26 17:22:03近日,IDC 2022 CSO全球網絡安全峰會(中國站)在上海隆重開幕,會上首次發布《IDC TechScape:中國數據安全發展路線圖,2022》(以下簡稱:TechScape 路線圖 2022)。盛邦安全入選TechScape 路線圖變革型技術曲線“API安全”技術推薦廠商,這是對盛邦安全在API安全技術領域持續創新與積累的重要認可。
TechScape?路線圖旨在幫助用戶構建全方位數據安全治理體系,賦能用戶實現數據安全治理目標。本次發布的TechScape?路線圖?2022?選取了18個新興及重要的數據安全技術進行分析,根據技術的市場影響以及各技術的發展階段,將其分為變革型技術、主導型技術以及機會型技術三大類別。通過對每個數據安全領域單項技術的部署情況、風險程度、市場熱度等內容進行細致的研究,針對每項技術給出三個推薦廠商,從而為最終用戶在產品選型時提供技術參考。
API 安全防護成為企業安全體系的重要組成部分
TechScape 路線圖2022報告顯示,應用程序規模正在快速增長,API通過集成應用軟件的模式來更好地連接應用程序,已經成為了應用程序連接、創新的基礎,給技術服務提供商和用戶帶來更多便利。然而,API也開始被眾多攻擊者所關注,非授權訪問、數據篡改與竊取、分布式拒絕服務、 SQL 注入等成為了攻擊者運用 API 進行攻擊的常用手段。
由于API 的多樣性、復雜性,一個應用程序可能會連接多個不同語言體系的 API,這無疑給最終用戶的 API 安全防護造成了很大困擾,許多用戶在攻擊事件發生后才意識到 API 風險。然而,由于企業廣泛存在 API 資產梳理不全面、不準確、開發過程中的 API 測試能力較弱、安全配置錯誤、身份認證與權限管控失誤、加密失敗、運行過程中持續的檢測監測難、API 安全意識薄弱等問題,API防護面臨諸多的困境。
盛邦安全API產品市場負責人認為,傳統的依賴API網關與WAF、IPS等防護設備聯動配合的方式,逐漸暴露出漏防、漏報、方案整合復雜程度高且針對性不足等缺點,越來越多的用戶需要部署專用的API檢測和防護設備,以實現API的全生命周期安全管理和控制。而IDC 定義下的 API安全,是一類幫助用戶緩解和保護 API 相關安全風險的解決方案,也是網絡安全技術應用的重要領域。
盛邦安全RayAPI 保護API安全無虞
盛邦安全基于自身在網絡資產治理與應用安全領域的技術積累,推出了集API資產梳理與加固保護于一體的安全防護型產品——API安全防護系統(RayAPI),可以在API學習畫像的基礎上,對其進行權限加固、攻擊防護、數據保護和綜合審計,提供全面的管控手段。
為了應對不同環境下的各類安全需求,RayAPI逐漸形成了如下五個核心技術能力:
- 主被動結合的API學習引擎:采用主動探測與被動流量分析相結合的API學習引擎,可以全面梳理用戶業務中存在的API資產,并結合流量特征進行語義提取,識別API狀態、用途等屬性,從而實現標簽化的畫像管理,自動梳理出正常API、影子API與問題API等內容;
- 啟發式攻擊檢測與防護引擎:采用特征檢測、語義分析與AI學習三合一的啟發式檢測引擎,通過對已知的攻擊規則與行為特征簡化判斷邏輯,并對引擎持續訓練,提升針對未知風險的發現能力,從而對API相關的注入攻擊、命令攻擊、異常訪問和非法內容進行防護處置;
- 基于人機識別的API訪問控制:產品基于流量變化和行為特點等角度進行建模分析,梳理API訪問的基線并進行動態跟蹤,對未授權訪問、未知請求、非法調用和異常高頻請求等行為進行識別判斷,并利用反向校驗、訪問限制和白名單等方式進行訪問控制;
- 面向業務的API數據調用管控:產品采用全面的檢查點和豐富的數據處理模型,能夠結合業務特點來對組織敏感數據、個人隱私信息、業務關鍵信息和系統賬戶口令等數據進行精準識別、統計和分類梳理,并結合擦除、替換和訪問限制等手段來達到脫敏保護等目的;
- 面向API生命周期的態勢監控:基于時間、空間、業務屬性和數據類型等多種維度對API資產進行監控,對API上線狀態、運行狀況、調用可靠性、數據合法性以及威脅態勢進行綜合研判,實現API資產的細粒度審計和可視化分析。
基于領先的 API 防護技術與豐富的行業實踐,盛邦安全將持續優化RayAPI,幫助用戶更好地對抗API攻擊,保護API安全無虞。