今日,由中国信息通信研究院(以下简称“中国信通院”)主办的“应刃而解应用安全发展论坛”于线上成功举办,会上发布了API安全能力评估的最新评估结果。
永安在线API安全管控平台凭借优秀的表现成为全国首批通过API安全能力评估的产品。
本次API安全能力评估由中国信通院发起,评估对象包括API安全产品“提供方”及“应用方”。针对产品提供方,信通院提出涉及API资产管理、API安全监测等四大安全模块的100余项标准细则,并基于不同能力要求对四大安全模块进行评级,分为基础级、增强级、先进级三大能力水平,帮助厂商规范API产品安全。
经全面测试评估,永安在线API安全管控平台在 API 资产管理、API 安全监测、API 安全防护、API 审计四大安全模块的成熟度评测中均达到“先进级”要求,足以证明永安在线在API安全领域的研发及创新实力。
永安在线API安全管控平台如何实现“先进级”能力?
在云计算、大数据时代,越来越多的应用开发深度依赖于API之间的相互调用,如APP、WEB、小程序等。API承载着企业核心业务逻辑和敏感数据,逐渐成为数字时代黑产攻击的重点目标。
据Gartner报告显示:“2022年,超九成Web应用程序遭到的攻击来自API。”在严峻的网络安全形势下,每一个API都可能成为攻击入口。
风险往往藏于“未知”。永安在线高级产品总监黄巍表示:尽管网络安全形势日益严峻,不少企业用户并不了解自己拥有多少API,存在怎样的安全风险和隐患。企业在网络安全建设过程中经常会面临如下难题:
1. API资产未知:业务系统API每日发布变更,有哪些API? 哪些敏感数据被访问?
2. API漏洞未知:内部系统漏洞多,数据访问角色多,哪些API存在缺陷?哪些API设计不安全?
3. API风险未知:攻击流量隐藏在正常业务流量中,哪些API被攻击?哪些账号访问异常?哪些IP在扫描试探?
针对API安全管理面临的三大难题,黄巍提出:基于情报构建以API为中心的安全管理体系,可以帮助企业及早感知暴露面、修复业务脆弱点,变“未知”为“已知”。
永安在线API安全管控平台
永安在线API安全管控平台以企业API资产为中心,实现企业API资产及敏感数据动态梳理、API缺陷持续评估、API攻击精准感知,帮助企业构建可预防、可解释、可溯源的数据安全管理体系。
1. 资产动态梳理,从未知到“可视”
首先,通过旁路流量分析,动态、自动化梳理API及API上流动的敏感数据,对API和敏感数据进行分级分类,建立完整API资产清单,同时结合外部情报对流量进行分析,不断更新API识别引擎,保证API资产梳理的准确性。
黄巍提到,永安在线API安全管控平台内置资产梳理模块,可以帮助用户及时、动态地了解API开放数量、API活跃状态、僵尸API、影子API、缺陷API、涉敏API等安全风险信息,确保企业流动数据清晰可见。目前,API资产识别率可达97.8%。
此外,平台还可以对API关联的账号资产进行梳理、分析,帮助客户应对账号共用、账号借用、账号盗用等各种类型的账号风险。
2. 缺陷持续评估,从未知到“可测”
在资产动态梳理的基础上,通过全网部署的代理蜜罐及情报,持续追踪攻击者利用新型API漏洞进行攻击的全过程,通过对新型攻击面和攻击特征的分析,持续迭代优化API漏洞检测引擎,确保及时发现API漏洞及各种隐藏风险点。
截至目前,永安在线API安全管控平台可支持64种API缺陷类型的检测,包括未授权漏洞、越权漏洞、短信验证码泄露、关键数据未脱敏等等。此外,平台已实现API安全缺陷自动化修复状态判定,实现缺陷闭环处理,提升安全运营效率。
3. 攻击精准感知,从未知到“可控”
最后,基于广覆盖、高精准度的威胁情报,构建API访问的行为基线,利用机器学习检测API访问序列中的异常行为,可及时、有效地感知恶意注册、扫号攻击、撞库攻击、营销欺诈、数据爬取、敏感API境外访问等场景的API风险事件。
针对存在混合云、多数据中心等业务场景,有较大的流量以及较高的API每秒并发量的客户,我们可提供分布式部署方案,由于各分析节点采用基于情报的风险判定引擎,可直接根据情报信息完成风险判定,不会因流量分布在多个节点而导致风险漏判或误判。
面对愈加复杂的网络安全环境,API安全也不断朝智能防护的方向迈进。永安在线API安全管控平台帮助企业用户实现资产可视、缺陷可测、风险可控,变“未知”为“已知”,以“先进级”产品性能护航企业的业务安全和数据安全。
还没有评论,来说两句吧...