API安全更进一步｜绿盟科技入选《API安全市场指南报告》

《报告》指出，绿盟科技在安全领域拥有多年经验和技术积累，能够提供成熟的安全解决方案。同时在安全市场拥有庞大的客户群体和市场份额，具有较强的品牌影响力和市场竞争力。

随着互联网应用的不断多元化和复杂化，应用服务化已经成为一个显著的趋势。在越来越多的场景中，API被广泛应用于应用架构中，用于应用间的数据传输和控制。同时，随着传输数据量和敏感性的增加，API面临着越来越频繁和多样化的攻击。因此，API安全已经成为众多企业高度关注的问题。为了保护数据安全，《信息安全技术个人信息安全规范》《数据安全法》和《个人信息保护法》相继出台。在各种法律法规、国标行标中，都能看到API作为数据接口，在数据的传输、使用、共享阶段所起到的作用和需要解决的安全问题。

与此同时，随着API的使用越来越多，也有越来越多的攻击专门针对API而来。2023年6月，本田动力设备的电商平台存在API漏洞，攻击者可为任何账户重置密码。2022年7月，Twitter的一个API漏洞，导致数百万用户数据被泄露。CVE官网上，与API相关漏洞已达三千多个，逐渐形成了以API为媒介的软件供应链安全风险。各行各业由于自身业务的特点和技术的应用，也面临着不同的API安全威胁。

绿盟科技API安全解决方案参照国际通用NIST架构，从识别，检测，防护，响应4个方面，共同保护客户API不受安全风险的困扰。并通过API安全运营平台，提供统一可视化展示平台，汇总各维度数据与事件，方便对API进行运营管理。

绿盟科技API风险检测能力，通过全流量DPI能力，从网络流量中自动识别API资产，生成详细的API资产清单，包括API的类型、访问地址、关联应用等详细信息。采用多种异常检测模型，包括基于规则和行为分析的模型，确保高效准确识别异常行为，避免敏感数据被泄露。内置API脆弱性检测策略，监控API流量，实时识别和报告API自身脆弱性漏洞，覆盖OWASP API Security Top10，防止攻击者通过API进行内网渗透。并通过全流量留存能力，方便事后进行审计和溯源。

绿盟科技API安全防护能力，内置丰富的API防护规则，针对十数种不同类型的web攻击特征进行防护。且通过个性化的模板进行封装，一键应用，快速生效，可有效防护对API的注入攻击、开源框架漏洞攻击、远程命令执行攻击等。同时通过自动化工具识别技术，避免黑灰产对API的滥用，逻辑漏洞利用或者批量爆破登录接口等操作。基于准确的检测引擎，可快速阻止针对API的攻击行为和调用。避免攻击者对于API的利用。

随着应用上云和云原生的不断发展，API安全防护能力进化出了云原生API安全的防护能力。不仅支持daemonset、deployment等多种部署模式，还能适配Kubernetes、Openshift和Service Mesh等多种云原生管理框架。

绿盟科技API漏洞扫描能力，能够针对获取的API资产进行漏洞扫描。通过专门的API漏洞扫描模板，主动构造攻击特征进行API漏洞发现，覆盖OWASP API TOP 10 2019、2023的漏洞。还能通过爬虫技术，自动爬取目标站点的API，进行API资产识别，形成单独的API资产数据及资产列表，进行资产管理。并提供API漏洞扫描报告，包含API详情和风险详情等。

绿盟科技API访问控制能力，可以按需对API进行访问控制，提供细粒度、自定义、贴合业务流程的API访问与数据传输控制点。通过丰富的授权模型，可以保证在不同场景下根据限定API访问权限，还能按需对API传输数据进行脱敏。也能通过API审计能力，记录账号对于API、数据的访问详细信息，发现不合规的数据调用、脱敏不充分、敏感数据泄露等场景。

API是应用与数据的表现形式，通过API安全运营平台将不同维度的API安全能力集成进行统一可视化展示，不仅可以以综合全面的视角了解API安全的风险，还能进行统一的处置响应动作。API具有不可见性，安全风险不容易被察觉，通过可视化平台可提供API流转视图，将数据、API、应用、调用方关联起来，更容易发现潜在的安全风险。

绿盟科技深耕API安全多年，配合多年的攻防实战经验，形成一套覆盖全生命周期，包含检测、防护、分析、响应的API安全解决方案。覆盖API资产管理、攻击检测、异常行为分析、滥用识别、脆弱性发现、访问控制等能力，同时也在不断地探索API安全的外延场景与创新的技术方案。API经济为业务带来价值的同时，也存在着各种各样的安全风险。由于API不可见的特性，很容易成为安全体系建设中的“灰犀牛”。绿盟科技API安全解决方案致力于贴合行业场景，切实解决API所引入的安全问题。