安全能力加持，绿盟科技API安全如何实现更进一步？

近日，绿盟API安全监测与审计系统（APISec）成功入选国际知名咨询机构Forrester The API Security Software Landscape, Q3 2024 市场报告（以下简称《报告》）。

《报告》指出，API的快速普及大大增加了组织的潜在攻击面。API对后端数据库的访问能力，使得数据成为攻击者在寻找敏感信息时的主要目标。在此背景下，威胁者越来越多地使用专有技术（例如注入攻击和访问令牌欺骗等）对API进行攻击。

绿盟API安全监测与审计系统（APISec）

API资产识别准确率高

API资产识别与梳理的重要性不言而喻，绿盟APISec通过多种手段逐渐过滤，最终能输出准确的API资产列表：

通过白名单屏蔽扫描器源IP
忽略静态文件传输
忽略无页面内容请求如40x、50x
通过http head和http body识别API
自动路径合并，将同一API进行合并

通过这一系列自动化的识别与优化，绿盟APISec输出的API资产列表将保持较高的准确性。再加上绿盟APISec通过内容和上下文分析而打上的各种标签，会更进一步提升API安全的监测能力和运营效果。

敏感数据类别覆盖广

绿盟科技在数据安全多年的积累和多个项目实战中的经验中，得到一套准确度高、覆盖行业广的数据分类分级模板。可准确识别数据的类别和级别。绿盟APISec系统内置个人隐私数据模板和3个行业分类分级模板，识别API所传输数据的类别和级别。通过行业规范和实战优化，敏感数据识别准确率高。为API安全风险识别和数据泄露风险奠定基础。

异常行为发现模型丰富

绿盟APISec非常关注API异常行为识别的能力，并且开创性地通过多维分析方式，提升API异常行为识别能力的准确度。通过数据维度、账号维度、频率维度、生命周期维度、内网维度、外网维度等6个维度的结合，更精准地发现API的异常行为风险。