域名預訂/競價，好“米”不錯過

8 月 26 日，全球領(lǐng)先的IT研究和咨詢公司IDC發(fā)布了《IDC TechScape：中國數(shù)據(jù)安全技術(shù)發(fā)展路線圖，2022》，選取了 18 個新興及重要的數(shù)據(jù)安全技術(shù)進行分析，并從變革型、遞增型和機會型技術(shù)三大類別，來呈現(xiàn)不同數(shù)據(jù)安全技術(shù)與服務的技術(shù)點、技術(shù)優(yōu)劣勢、發(fā)展階段、風險程度、市場熱度和標桿廠商，幫助用戶了解和選擇適合其自身業(yè)務發(fā)展要求的數(shù)據(jù)安全產(chǎn)品與服務組合。

瑞數(shù)信息作為中國數(shù)據(jù)安全領(lǐng)域的中堅力量，推出的API安全管控平臺將面向攻擊的主動防御能力和AI智能數(shù)據(jù)分析能力全面融合，被列為IDC TechScape：數(shù)據(jù)安全變革性技術(shù)之API安全代表廠商。

API正在成為實現(xiàn)商業(yè)創(chuàng)新和數(shù)字化轉(zhuǎn)型的核心技術(shù)手段，其連接的已不僅是系統(tǒng)和數(shù)據(jù)，還有企業(yè)、客戶、合作伙伴，甚至整個商業(yè)生態(tài)，成為當下網(wǎng)絡應用流量的重要出入口，越來越多的攻擊者正利用API來實施自動化的高效攻擊。

IDC指出，API安全日漸成為了一個重要的數(shù)據(jù)安全、應用安全領(lǐng)域。目前，傳統(tǒng)在Web應用安全 網(wǎng)關(guān)等產(chǎn)品中的API防護功能已經(jīng)不足以防護日益復雜的API攻擊，API安全應站在全生命周期管理的角度，從API安全開發(fā)和部署(API 測試等)開始，配合加密、身份認證、權(quán)限管控、API安全測試、檢測、監(jiān)測、威脅防護、威脅處理等能力來進行管理和控制。

總體來看，最終用戶面臨的API安全防護困境主要集中在API資產(chǎn)梳理不全面、不準確、開發(fā)過程中的API測試能力較弱、安全配置錯誤、身份認證與權(quán)限管控失誤、加密失敗、運行過程中持續(xù)的檢測監(jiān)測難、API 安全意識薄弱等問題。

作為中國API安全代表廠商，瑞數(shù)信息基于用戶在API安全防護的痛點，在技術(shù)路線上將主動防御能力與AI智能數(shù)據(jù)分析能力進行全面融合，由此推出了具有API感知、發(fā)現(xiàn)、監(jiān)測、保護能力的瑞數(shù)API安全管控平臺，覆蓋API安全防護管理全生命周期。

有別于很多從API安全 網(wǎng)關(guān)角度切入的安全方案，瑞數(shù)API安全管控平臺著重強調(diào)API相關(guān)威脅的識別能力和防護能力的提升，以行為分析為基礎(chǔ)更細粒度、更準確地識別風險，實現(xiàn)從API接入客戶端到API服務器端的全程式API安全威脅防護。

具體而言，瑞數(shù)API安全管控平臺包括：API資產(chǎn)管理、攻擊防護、敏感數(shù)據(jù)管控、訪問行為管控四大模塊，為API接口提供完整的安全管控方案。

API資產(chǎn)管理模塊：持續(xù)發(fā)現(xiàn)API接口，建立API清單，與業(yè)務方提供的API目錄進行比對，及時發(fā)現(xiàn)未知的API和僵尸API。自動對API接口實現(xiàn)分類、分組、并指派責任人，實現(xiàn)數(shù)據(jù)分權(quán)管理。提取 API 接口的元數(shù)據(jù)，為API接口提供可視化的詳情展示。

API攻擊防護模塊：基于已知業(yè)務邏輯和依賴關(guān)系定義API接口調(diào)用順序，防止繞過業(yè)務邏輯的訪問行為，提前設置接口請求參數(shù)調(diào)用規(guī)則，拒絕非法的API請求參數(shù)調(diào)用，降低安全配置錯誤，縮小攻擊面;支持API安全攻擊檢測和防護，并引入語義分析技術(shù)，進一步提高檢測準確性。

API敏感數(shù)據(jù)管控模塊：內(nèi)置敏感信息檢測引擎，覆蓋OWASP API Security Top10、姓名、手機號、身份證、銀行卡、密碼等 18 種敏感數(shù)據(jù)類型，對敏感信息進行自動分級，實時洞察API接口中雙向傳輸?shù)拿舾袛?shù)據(jù)、明文密碼和弱密碼，并及時對 API 接口回傳報文中的敏感信息進行脫敏處理，規(guī)避數(shù)據(jù)泄漏風險。

異常行為監(jiān)控模塊：基于多維度實時監(jiān)控API接口的訪問行為，包括訪問成功率、耗時、TPS、并發(fā)數(shù)等維度，建立API訪問基線，及時發(fā)現(xiàn)偏離基線的異常訪問行為;內(nèi)置API 業(yè)務威脅模型，透視API常見的業(yè)務威脅，如:撞庫、爬蟲等。

API訪問控制模塊：內(nèi)置靈活的API訪問控制策略，可基于API接口、源IP、訪問頻率、客戶端指紋、API令牌、User Agent、HTTP請求特征等上百個元素，對API接口實現(xiàn)精細化的訪問控制，支持對維度限頻、攔截、延時等。

瑞數(shù)API安全管控平臺不僅可以快速自動地發(fā)現(xiàn)API，并且針對發(fā)現(xiàn)的API給出明確的認定，還可以顯示出清晰的API列表，對API接口的訪問情況一目了然。同時，通過精準地構(gòu)建API畫像，可以快速預覽各個業(yè)務的API情況，包括使用情況、異常情況、訪問來源等，并且可根據(jù)行為分析的結(jié)果或指定條件，進行動態(tài)響應防護，提升通過逆向探測或機器學習分析等攻擊手段的難度。

瑞數(shù)API安全管控平臺已廣泛應用于金融、快消、零售、運營商、能源等多個行業(yè)，為企業(yè)實現(xiàn)API安全管控和數(shù)據(jù)安全提供有力支持。

入選IDC TechScape API安全技術(shù)推薦廠商的背后，是瑞數(shù)信息緊緊貼合市場趨勢與用戶需求，在技術(shù)上不斷精進創(chuàng)新，長期以來收獲了市場與用戶的認可。未來，瑞數(shù)信息將持續(xù)打磨API安全技術(shù)和方案，為用戶帶來實實在在的價值，助力企業(yè)合規(guī)建設數(shù)據(jù)安全，有效抵御API新興威脅。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！