域名預(yù)訂/競價,好“米”不錯過
在“萬物皆可API”的時代�,通過API快速構(gòu)建產(chǎn)品和服務(wù)、迅速響應(yīng)客戶需求已是數(shù)字化企業(yè)的必備技能�。但同時,API承載著越來越復(fù)雜的應(yīng)用程序邏輯和越來越多敏感數(shù)據(jù)的特征�,也使得API成為黑客攻擊的重點目標(biāo),導(dǎo)致數(shù)據(jù)泄露事件頻發(fā)�。
API管控不當(dāng)導(dǎo)致數(shù)據(jù)泄露事件頻發(fā) 企業(yè)API安全建設(shè)勢在必行
? 2023年1月,推特有2.35億用戶個人信息被泄露�,其中包括用戶的姓名、電子郵件地址�、Twitter 手柄、粉絲數(shù)量和賬戶創(chuàng)建日期�;
? 美國通信巨頭T-Mobile被黑客通過未經(jīng)授權(quán)的API,非法獲得3700萬用戶個人信息�;
? 法拉利、寶馬�、勞斯萊斯、保時捷等20家車企被爆出API安全漏洞�,包括解鎖、啟動和跟蹤汽車以及客戶個人信息被泄露……
隨著API安全造成的影響越來越大,API安全已受到了業(yè)界的廣泛關(guān)注�,開放Web應(yīng)用程序安全項目(OWASP)在2019年就將API列為最受關(guān)注的十大安全問題。在今年�,OWASP API TOP 10進(jìn)一步更新了API安全風(fēng)險�,將“不受限訪問敏感業(yè)務(wù)(Bot防護(hù))、服務(wù)端請求偽造�、API的不安全使用”列為新增的API安全風(fēng)險。
這些風(fēng)險很大程度來源于企業(yè)API管控不當(dāng)�,即企業(yè)不知道自身有多少API被開放,使用是否受控�,有怎樣的安全風(fēng)險和隱患,從而使得API變成了企業(yè)網(wǎng)絡(luò)安全薄弱的一環(huán)�。
目前,我國《網(wǎng)絡(luò)安全法》《個人信息保護(hù)法》《數(shù)據(jù)安全法》已正式施行�,為各行業(yè)帶來了更大力度的合規(guī)監(jiān)管,這促使企業(yè)必須加強(qiáng)API安全建設(shè)�,保障數(shù)據(jù)安全。
解決企業(yè)API管控亂象 瑞數(shù)信息推出全新API安全審計產(chǎn)品
瑞數(shù)API安全審計系統(tǒng)(API SecAudit)�,以API資產(chǎn)管理為重點、API安全審計為核心�,幫助企業(yè)自動發(fā)現(xiàn)API資產(chǎn)、檢測API安全攻擊�、識別API請求中的敏感數(shù)據(jù)、監(jiān)測API運(yùn)行狀態(tài)�、審計API訪問行為、識別API應(yīng)用缺陷,提供豐富的API安全審計報告�。
API安全審計系統(tǒng)技術(shù)獨(dú)特性如下:
l 資產(chǎn)發(fā)現(xiàn)
支持從Swagger文件、表格等導(dǎo)入API資產(chǎn)�,也可以通過對API流量分析,自動發(fā)現(xiàn)流量中的網(wǎng)站�、端口、API資產(chǎn)和敏感接口等�,支持自定義API 接口規(guī)則,快速�、精準(zhǔn)地進(jìn)行API資產(chǎn)發(fā)現(xiàn)�、API接口樣式提取并提供API接口可視化展示,支持API接口分類�、分組并指派責(zé)任人,實現(xiàn)數(shù)據(jù)分權(quán)管理�。
l 安全檢測
支持對OWASP API Security Top10安全攻擊的檢測,從海量訪問中快速發(fā)現(xiàn)和定位安全風(fēng)險事件�;通過AI技術(shù)實現(xiàn)API參數(shù)自學(xué)習(xí)和調(diào)用順序自學(xué)習(xí),滿足合規(guī)檢測要求�,內(nèi)置各種業(yè)務(wù)威脅模型,快速應(yīng)對諸如爬蟲�、撞庫等各類業(yè)務(wù)威脅。
l 行為檢測
對API接口的請求�、響應(yīng)、參數(shù)和返回值等進(jìn)行記錄和分析�,建立API訪問基線,識別偏離基線和異常的訪問行為�,如:高頻訪問、內(nèi)網(wǎng)應(yīng)用訪問互聯(lián)網(wǎng)等�;同時,自動識別Bot訪問行為�,對Bot類型進(jìn)行分類�,更有效地實現(xiàn)訪問行為審計�,從而及時發(fā)現(xiàn)和解決問題,保證API接口的正常訪問�。
l 數(shù)據(jù)合規(guī)
內(nèi)置敏感數(shù)據(jù)檢測引擎,覆蓋姓名�、手機(jī)號�、身份證�、銀行卡、密碼等上百種敏感數(shù)據(jù)類型�,內(nèi)置電信和金融行業(yè)數(shù)據(jù)分級,支持敏感數(shù)據(jù)自動分級�,實時洞察API接口中雙向傳輸?shù)拿舾袛?shù)據(jù)、明文密碼和弱密碼等數(shù)據(jù)泄漏風(fēng)險�,對API接口傳輸?shù)拿舾袛?shù)據(jù)進(jìn)行記錄�、分析和審查�,以保證敏感數(shù)據(jù)的安全傳輸�。
l 統(tǒng)計分析
瑞數(shù)API安全審計系統(tǒng)內(nèi)置豐富的API安全報表,底層還提供了大數(shù)據(jù)分析平臺�,無需二次開發(fā),根據(jù)用戶的個性化需求�,快速生成報表,所見即所得�。
l 聯(lián)防聯(lián)控
瑞數(shù)API安全審計系統(tǒng)提供了豐富的API接口,同時支持與kafka對接�,實現(xiàn)與安全設(shè)備的聯(lián)動,達(dá)到聯(lián)防聯(lián)控的目的�。
助力中國API安全建設(shè) 瑞數(shù)API安全產(chǎn)品在多行業(yè)應(yīng)用
瑞數(shù)信息作為國內(nèi)首批具備“云原生API安全能力+WAAP能力”認(rèn)證的專業(yè)廠商,連續(xù)多年入選Gartner�、IDC等全球知名咨詢機(jī)構(gòu)評選的中國API領(lǐng)域代表廠商,充分展現(xiàn)了在API領(lǐng)域的強(qiáng)勁技術(shù)實力和市場表現(xiàn)�。目前,瑞數(shù)API安全解決方案已廣泛應(yīng)用在金融�、零售�、醫(yī)療、政府�、運(yùn)營商等多個行業(yè)中�。此次推出的瑞數(shù)API審計系統(tǒng)同樣適用于各行業(yè)�,尤其是有大量API應(yīng)用,但防護(hù)手段單一�、迫切需要API安全解決方案的企業(yè)。
作為國內(nèi)最早推出API安全解決方案之一的廠商�,瑞數(shù)信息于2019年就推出具有API感知、發(fā)現(xiàn)�、監(jiān)控、保護(hù)能力的API安全解決方案�,并形成了瑞數(shù)API安全管控平臺(API BotDefender),包括API資產(chǎn)管理�、攻擊防護(hù)�、敏感數(shù)據(jù)管控和訪問行為管控四大模塊,為API接口提供完整的安全管控方案�。如今,瑞數(shù)API審計系統(tǒng)正是瑞數(shù)API安全系列產(chǎn)品家族中的重要一員�。
在API安全日益重要的今天,瑞數(shù)API安全審計系統(tǒng)的推出�,能夠更好地幫助企業(yè)應(yīng)對未知威脅、發(fā)現(xiàn)API安全風(fēng)險和缺陷�,保證業(yè)務(wù)的正常高效運(yùn)轉(zhuǎn)。未來瑞數(shù)信息還將持續(xù)創(chuàng)新技術(shù)�、產(chǎn)品和服務(wù),進(jìn)一步提升API安全能力�,為企業(yè)有效抵御新興威脅、合規(guī)建設(shè)應(yīng)用安全和數(shù)據(jù)安全打下堅實基礎(chǔ)�。
申請創(chuàng)業(yè)報道�,分享創(chuàng)業(yè)好點子�。點擊此處�,共同探討創(chuàng)業(yè)新機(jī)遇!
