2021年4月,Linkedln曝出惊天数据泄露事件,7亿用户资料被黑客通过API漏洞窃取;2022年2月,国内某招聘平台的API漏洞遭人利用,被秘密爬取2.1亿余条个人信息;2023年1月,2亿Twitter用户数据被以2美元的价格出售,数据流出的渠道仍旧是API漏洞……这些事件不过当前严峻API安全形势的冰山一角。一方面,随着微服务架构的普及、开发向低代码/无代码转变,API的应用持续扩大。据统计,API请求已占所有应用请求的83%,预计2024年API请求命中数将达到42万亿次。另一方面,API攻击暴增。2021年API攻击流量增长了681%,而整体API流量增长了321%。既要API的开放,又要API的安全,成为了企业开展数字化业务的“两难困境”。企业到底面临哪些API安全难题,这些难题从何而来,企业又该如何应对,芯盾时代作为领先的零信任业务安全产品方案提供商,给出了自己的答案~
API安全难题:摸不清,看不准,测不出,拦不住
API作为应用程序之间的交互接口,不但在传统的CS应用、第三方通信之中占有重要地位,也是微服务之间重要的通信方式。随着微服务架构的快速普及,企业与企业之间、程序与程序之间数据流通日益频繁,加之企业业务应用的持续扩充和迭代,企业普遍面临以下API安全问题。1.摸不清:API资产难管理由于一个应用程序往往有多个类型不同的API,复杂应用的接口更是可达10万级,企业必须管理庞大的API资产。随着业务应用的持续增加,API数量爆发式增加,导致很多企业一不清楚自己有多少API,二不了解API处于什么状态,系统中存在大量影子API、僵尸API。面对异常庞杂的API资产,如果单纯依靠人工进行资产梳理,企业根本无法了解API资产的真是情况,更无从掌握API面临的安全风险。2.看不透:API漏洞难发现API安全是网络安全的新兴领域,OWSAP在2019年才第一次推出了API Security Top 10。因此,企业的安全人员对API安全的理解往往不够深入,市场上也缺乏具备丰富经验的人员来帮助企业进行API安全建设,导致API在开发和使用中存在安全漏洞。尽管OWSAP每年都会更新API Security Top 10,企业也难以及时发现漏洞并进行修补。3.测不出:API攻击难发现难以掌控的API资产与难以发现的API漏洞会持续扩大应用程序攻击面,让攻击者更容易进行侦察、收集配置信息以及策划网络攻击。面对难以发现的API攻击,企业不但需要防范已知攻击,还要及时对未知攻击做出响应,这要求API安全产品不但要具备丰富的威胁模型,还要具备应对未知风险的能力。4.拦不住:敏感数据难感知当前,利用API窃取敏感数据并进行业务欺诈已经成为黑客最常用的攻击方式之一。如果企业不能识别敏感数据,对数据进行脱敏、加密处理,无异于放任数据在API这条“数据公路”上“裸奔”,一旦流量被截获、破解,后果不堪设想。因此,企业必须构建对敏感数据的识别、溯源能力,保证数据被安全的调用、传输。芯盾时代APISEC安全平台
芯盾时代作为领先的零信任业务安全产品方案提供商,以AI技术赋能API安全,基于对企业API安全需求的深刻理解与对API安全威胁的前沿研究,打造了APISEC安全平台,通过API资产管控、API漏洞检测、流量分析、机器学习等核心技术,帮助用户梳理API资产、完成API画像、扫描API漏洞,发现攻击行为、检测敏感数据,建立资产摸得清、漏洞看得透、攻击测得出、数据拦得住的API风险监测体系,保障企业业务系统的安全和稳定运行。芯盾时代APISEC安全平台,具备以下功能——1.API资产梳理APISEC安全平台能够基于结合机器学习的API流量基线与自主研发的划分引擎,自动、持续发现API资产,对API进行分类,以功能、应用等多种维度聚合同类API,形成分类明确、路径清晰的API资产树,让企业的API资产各归其类,一眼即明。平台支持多文件导入,便于新应用、新版本API资源的快速上传,与API自动发现形成互补,让企业的API资产管理更规范。平台基于流量分析构建API资产画像,从全局API资产、应用API信息、单个API三种粒度,以可视化的方式展现应用和API数量、API访问情况、漏洞风险分类、敏感数据类别、API访问基线等信息,为企业建立“全局可视、单点清晰”的API资产管理体系。2.API漏洞管理基于丰富的API漏洞库,APISEC安全平台能够自动检测API安全漏洞,对漏洞进行分析、定级,给出可行的漏洞修补方案,实现对漏洞的闭环管理。借助漏洞检测功能,企业可以未雨绸缪,按照先高风险等级、后低风险等级的次序修补漏洞,降低被攻击的可能性。平台支持OWASP API TOP 10,以及Web漏洞的检测,支持漏洞库的持续升级。3.API攻击监测APISEC安全平台能够实时监控API访问情况,分析流量数据,通过内置的API威胁模型识别账号暴力破解、未授权访问等风险行为,通过机器学习技术对攻击进行建模、学习,持续扩展对攻击行为的检测能力,智能识别更多种针对API的新型攻击,精准的发出攻击报警。安全人员可借助平台对攻击进行分析、溯源,实现对API风险行为的全生命周期管理。4.敏感数据感知芯盾时代APISEC安全平台内置敏感数据检测引擎,覆盖姓名、手机号、身份证、银行卡号等敏感数据类型。安全人员可自定义敏感数据识别规则,实时洞察API接口中双向传输的敏感数据,并及时对报文中的敏感数据进行脱敏处理。平台支持对敏感事件的访问取证,安全人员可对敏感数据进行追踪溯源,提升对数据的管控能力。有了芯盾时代APISEC安全平台,企业的API管理更规范、更智能、更高效,能够及时发现和处理潜在的API安全和数据安全问题,确保API生态环境的安全可靠,保证数字化业务的安全稳定运行。
往期 · 推荐
中能传媒丨芯盾时代创始人、CTO孙悦:零信任助推电力企业数字化发展
API安全是数字经济时代企业数据安全保护的重要一环
【喜讯】芯盾时代入选《API安全产品及服务购买指南》 以零信任破解API安全难题
【喜讯】芯盾时代入选《2022中国网络安全十大创新方向》API安全防护典型厂商
原文标题:API安全“芯”方案丨芯盾时代APISEC安全平台 助力企业构建API安全管理体系
文章出处:【微信公众号:芯盾时代】欢迎添加关注!文章转载请注明出处。
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。
举报投诉
-
芯盾时代
+关注
关注
0文章
202浏览量
1820
原文标题:API安全“芯”方案丨芯盾时代APISEC安全平台 助力企业构建API安全管理体系
文章出处:【微信号:trusfort,微信公众号:芯盾时代】欢迎添加关注!文章转载请注明出处。
发布评论请先 登录
相关推荐
芯盾时代API安全监测平台荣获WitAwards 2024年度大奖
近日,由国内专业的网络安全行业门户FreeBuf主办的FCIS 2024网络安全创新大会在上海隆重举行。会上,FreeBuf公布了WitAwards 2024获奖名单。芯盾
芯盾时代中标深圳市重大产业投资集团有限公司
芯盾时代中标深圳市重大产业投资集团有限公司(简称“深重投集团”),运用统一终端安全,零信任网络访问和智能决策大脑等技术,结合芯
芯海科技荣获ISO/IEC 27001信息安全管理体系认证
近日,芯海科技成功获得国际知名认证机构德国莱茵TÜV集团颁发的ISO/IEC 27001信息安全管理体系认证。这一认证不仅标志着芯海科技在信息安全
芯盾时代:构建新型身份管理体系,筑牢数字安全屏障
在企业数字化转型的进程中,“身份”作为联通物理世界和数字世界的桥梁,重要性日益凸显。如果对数字身份的管理能力不足,不但增加员工的负担,影响业务运转,还有可能带来网络安全隐患,威胁企业的
芯海科技荣获ISO/IEC 27001信息安全管理体系认证
近日,芯海科技(股票代码:688595)荣获国际知名认证机构德国莱茵TÜV集团颁授的ISO/IEC 27001信息安全管理体系认证。这一认证标志着芯海科技在信息
发表于 05-22 11:13
•220次阅读
芯海科技荣获ISO/IEC 27001信息安全管理体系认证
近日,芯海科技(股票代码:688595)荣获国际知名认证机构德国莱茵TÜV集团颁授的ISO/IEC27001信息安全管理体系认证。这一认证标志着芯海科技在信息
芯盾时代参与的国家标准《网络安全技术 零信任参考体系架构》发布
近日,国家市场监督管理总局、国家标准化管理委员会发布中华人民共和国国家标准公告(2024年第6号),芯盾时代参与编写的国家标准GB/T 43
芯盾时代成功入选《API安全市场指南报告》
4月18日,国内数字产业第三方调研咨询机构数世咨询正式发布《API安全市场指南报告》(以下简称《报告》),从应用创新力与市场执行力两大维度展现API安全厂商市场能力,并对
广芯微电子通过ISO26262功能安全管理体系认证
2024年3月25日,独立第三方检测、检验和认证机构德国莱茵TÜV集团(简称“TÜV莱茵”)正式向广芯微电子(广州)股份有限公司(简称“广芯微”)颁发ISO 26262 功能安全管理体系
碳化硅(SiC)厂商瞻芯电子获得环境与职业健康安全管理体系认证
“)的碳化硅(SiC)晶圆厂,继获得ISO9001质量管理体系与ITAF16949汽车行业质量管理认证之后,再获2项国际标准认证,表明公司的管理体系在持续完善,体现了公司对环境保护、员工健康安
评论