API安全“芯”方案丨芯盾时代APISEC安全平台助力企业构建API安全管理体系

芯盾时代 2023-07-06 1155

描述

2021年4月，Linkedln曝出惊天数据泄露事件，7亿用户资料被黑客通过API漏洞窃取；2022年2月，国内某招聘平台的API漏洞遭人利用，被秘密爬取2.1亿余条个人信息；2023年1月，2亿Twitter用户数据被以2美元的价格出售，数据流出的渠道仍旧是API漏洞……这些事件不过当前严峻API安全形势的冰山一角。一方面，随着微服务架构的普及、开发向低代码/无代码转变，API的应用持续扩大。据统计，API请求已占所有应用请求的83%，预计2024年API请求命中数将达到42万亿次。另一方面，API攻击暴增。2021年API攻击流量增长了681%，而整体API流量增长了321%。既要API的开放，又要API的安全，成为了企业开展数字化业务的“两难困境”。企业到底面临哪些API安全难题，这些难题从何而来，企业又该如何应对，芯盾时代作为领先的零信任业务安全产品方案提供商，给出了自己的答案~

API安全难题：摸不清，看不准，测不出，拦不住

API作为应用程序之间的交互接口，不但在传统的CS应用、第三方通信之中占有重要地位，也是微服务之间重要的通信方式。随着微服务架构的快速普及，企业与企业之间、程序与程序之间数据流通日益频繁，加之企业业务应用的持续扩充和迭代，企业普遍面临以下API安全问题。1.摸不清：API资产难管理由于一个应用程序往往有多个类型不同的API，复杂应用的接口更是可达10万级，企业必须管理庞大的API资产。随着业务应用的持续增加，API数量爆发式增加，导致很多企业一不清楚自己有多少API，二不了解API处于什么状态，系统中存在大量影子API、僵尸API。面对异常庞杂的API资产，如果单纯依靠人工进行资产梳理，企业根本无法了解API资产的真是情况，更无从掌握API面临的安全风险。2.看不透：API漏洞难发现API安全是网络安全的新兴领域，OWSAP在2019年才第一次推出了API Security Top 10。因此，企业的安全人员对API安全的理解往往不够深入，市场上也缺乏具备丰富经验的人员来帮助企业进行API安全建设，导致API在开发和使用中存在安全漏洞。尽管OWSAP每年都会更新API Security Top 10，企业也难以及时发现漏洞并进行修补。芯盾时代

3.测不出：API攻击难发现难以掌控的API资产与难以发现的API漏洞会持续扩大应用程序攻击面，让攻击者更容易进行侦察、收集配置信息以及策划网络攻击。面对难以发现的API攻击，企业不但需要防范已知攻击，还要及时对未知攻击做出响应，这要求API安全产品不但要具备丰富的威胁模型，还要具备应对未知风险的能力。4.拦不住：敏感数据难感知当前，利用API窃取敏感数据并进行业务欺诈已经成为黑客最常用的攻击方式之一。如果企业不能识别敏感数据，对数据进行脱敏、加密处理，无异于放任数据在API这条“数据公路”上“裸奔”，一旦流量被截获、破解，后果不堪设想。因此，企业必须构建对敏感数据的识别、溯源能力，保证数据被安全的调用、传输。

芯盾时代APISEC安全平台

芯盾时代作为领先的零信任业务安全产品方案提供商，以AI技术赋能API安全，基于对企业API安全需求的深刻理解与对API安全威胁的前沿研究，打造了APISEC安全平台，通过API资产管控、API漏洞检测、流量分析、机器学习等核心技术，帮助用户梳理API资产、完成API画像、扫描API漏洞，发现攻击行为、检测敏感数据，建立资产摸得清、漏洞看得透、攻击测得出、数据拦得住的API风险监测体系，保障企业业务系统的安全和稳定运行。芯盾时代APISEC安全平台，具备以下功能——1.API资产梳理APISEC安全平台能够基于结合机器学习的API流量基线与自主研发的划分引擎，自动、持续发现API资产，对API进行分类，以功能、应用等多种维度聚合同类API，形成分类明确、路径清晰的API资产树，让企业的API资产各归其类，一眼即明。平台支持多文件导入，便于新应用、新版本API资源的快速上传，与API自动发现形成互补，让企业的API资产管理更规范。芯盾时代

平台基于流量分析构建API资产画像，从全局API资产、应用API信息、单个API三种粒度，以可视化的方式展现应用和API数量、API访问情况、漏洞风险分类、敏感数据类别、API访问基线等信息，为企业建立“全局可视、单点清晰”的API资产管理体系。芯盾时代

2.API漏洞管理基于丰富的API漏洞库，APISEC安全平台能够自动检测API安全漏洞，对漏洞进行分析、定级，给出可行的漏洞修补方案，实现对漏洞的闭环管理。借助漏洞检测功能，企业可以未雨绸缪，按照先高风险等级、后低风险等级的次序修补漏洞，降低被攻击的可能性。平台支持OWASP API TOP 10，以及Web漏洞的检测，支持漏洞库的持续升级。3.API攻击监测APISEC安全平台能够实时监控API访问情况，分析流量数据，通过内置的API威胁模型识别账号暴力破解、未授权访问等风险行为，通过机器学习技术对攻击进行建模、学习，持续扩展对攻击行为的检测能力，智能识别更多种针对API的新型攻击，精准的发出攻击报警。安全人员可借助平台对攻击进行分析、溯源，实现对API风险行为的全生命周期管理。

4.敏感数据感知芯盾时代APISEC安全平台内置敏感数据检测引擎，覆盖姓名、手机号、身份证、银行卡号等敏感数据类型。安全人员可自定义敏感数据识别规则，实时洞察API接口中双向传输的敏感数据，并及时对报文中的敏感数据进行脱敏处理。平台支持对敏感事件的访问取证，安全人员可对敏感数据进行追踪溯源，提升对数据的管控能力。

有了芯盾时代APISEC安全平台，企业的API管理更规范、更智能、更高效，能够及时发现和处理潜在的API安全和数据安全问题，确保API生态环境的安全可靠，保证数字化业务的安全稳定运行。

往期 · 推荐

中能传媒丨芯盾时代创始人、CTO孙悦：零信任助推电力企业数字化发展

API安全是数字经济时代企业数据安全保护的重要一环

【喜讯】芯盾时代入选《API安全产品及服务购买指南》以零信任破解API安全难题

【喜讯】芯盾时代入选《2022中国网络安全十大创新方向》API安全防护典型厂商

原文标题：API安全“芯”方案丨芯盾时代APISEC安全平台助力企业构建API安全管理体系

文章出处：【微信公众号：芯盾时代】欢迎添加关注！文章转载请注明出处。

打开APP阅读更多精彩内容

API安全“芯”方案丨芯盾时代APISEC安全平台 助力企业构建API安全管理体系

芯盾时代

描述

API安全“芯”方案丨芯盾时代APISEC安全平台助力企业构建API安全管理体系