近日,IDC咨询正式发布《中国API安全市场洞察,2022》报告,对中国API安全市场发展现状及未来趋势进行观察,并通过对行业用户以及技术提供商的深入访谈,挑选出具有代表性的API安全相关产品和解决方案,供技术买家在进行技术选择时参考。
瑞数API安全管控平台(API BotDefender)凭借自身的技术积累和行业优势,被列为具有代表性的API安全产品之一。
IDC认为,API作为数据流转和使用的重要通道,承载着十分重要的责任。同时,API的多样性、复杂性在不断增加,传统基于网络和主机边界安全的防护技术无法充分应对云计算和微服务技术下不断弹性部署的业务安全需要,许多用户在攻击事件发生后才意识到API风险。因此,API资产的全面梳理和安全防护成为市场的迫切需求,API的安全建设也成为企业数字化创新的基础保障。
IDC将API安全定义为专门为保护API通信免受误用、滥用和漏洞利用而设计的解决方案,其所提供的功能包括API资产发现、验证和执行,动态和自适应的流量监测和模式分析、检测和阻止威胁,例如恶意软件、漏洞利用、代码注入、机器人流量、DDoS攻击、欺诈和滥用等。目前API安全多以API安全网关、API安全管理平台等产品形式进行交付。
IDC认为,API的安全防护市场在中国还处于初步发展阶段,产品和技术能力还需进一步加强。目前,国内众多网络安全厂商、数据安全厂商、云计算服务商、专业的API安全厂商纷纷布局API安全市场,且各个厂商结合自己的技术积累和行业优势推出了各具特色的产品和解决方案。
瑞数API安全管控平台(API BotDefender)
瑞数API 安全管控平台(API BotDefender)能够实现从API接入的客户端到API服务器端的全程式API安全威胁防护。不仅可以快速自动地发现API,并且针对发现的API给出明确的认定,还可以显示出清晰的API列表,对API接口的访问情况一目了然。同时,通过精准构建API画像,可以快速预览各个业务的API情况,包括使用情况、异常情况、访问来源等,并且可根据行为分析的结果或指定条件,调用动态响应机制对异常API请求进行拦阻、限速或脱敏等,从而提升通过逆向探测或机器学习分析等攻击手段的难度。
lAPI资产管理模块:基于大数据建模自动发现API接口,自动对API接口实现分类、分组、并指派责任人,实现数据分权管理。自动提取API接口样式,为API接口提供可视化的详情展示,帮助客户实现API资产的生命周期管理。
lAPI攻击防护模块:基于智能威胁检测引擎持续监控并分析流量行为,用机器学习获得的多种威胁模型来确定异常攻击,同时利用语义分析和流量学习技术,精准、快速识别各类攻击,包括OWASP API Security Top10的安全攻击检测、API安全参数合规检测、API接口调用顺序检测。
lAPI敏感数据管控模块:内置敏感信息检测引擎,覆盖姓名、手机号、身份证、银行卡、密码等18种敏感数据类型,对敏感信息进行自动分级,实时洞察API接口中双向传输的敏感数据、明文密码和弱密码,并及时对API接口回传报文中的敏感信息进行脱敏处理,规避数据泄漏风险。
lAPI异常行为监控模块:基于多维度实时监控API接口的访问行为,包括访问成功率、耗时、 每秒事务处理量(TPS)、并发数等维度,建立API访问基线,及时发现偏离基线的异常访问 行为,及时发现未知的API和僵尸API。内置API 业务威胁模型,透视API常见的业务威胁, 如撞库、爬虫等。
lAPI访问控制模块:内置灵活API访问控制策略,可基于API接口、源互联网协议地址 (IP)、访问频率、客户端指纹、API令牌、客户代理(UserAgent)、超文本传输协议 (HTTP )请求特征等上百个基础要素和用户交互行为特征,对API接口实现精细化的访问控制,支持多维度限频、拦截、延时等。
瑞数API安全管控平台(API BotDefender)具备以下特点:
l全渠道感知:支持APP软件开发工具包(SDK)、微信小程序SDK和WebJavaScript,方便与各类API来源应用进行集成,通过东西和南北向流量采集客户端环境信息,对来源环境和用户行为进行感知,保障请求客户端的合法性,同时,为每个API客户端生成唯一的指纹标识。
lAPI接口精准识别:通过API接口识别模型对API接口可能性进行打分,确保API接口的精准识别,同时显示清晰的API列表,对API接口的访问情况一目了然,帮助用户实现API资产生命周期管理。
l创新敏感数据识别算法:大幅提升敏感数据识别速度和精准度,帮助用户快速实现API敏感数据识别和分类分级。
l动态访问控制:支持动态响应防护,包括定时器、地域锁、按需拦截等多种访问控制策略,提升通过逆向探测或机器学习分析等攻击手段的难度。
结合当前中国API安全市场发展现状及未来趋势,IDC为技术买家提供了以下几点建议:
l DevSecOps帮助企业将安全融入DevOps整体交付流程,从开始阶段就将安全列为优先事项。完整的API安全防护解决方案应从API开发和部署开始,运用SAST、DAST等手段在开发环节检验安全漏洞和错误配置的问题,帮助用户从根源上降低API安全风险。
l API资产的发现与管理是做好API安全的基础,但仅靠安全团队人工梳理很难全面获取企业所有API资产信息及其应用状态。一方面需要相关业务部门的协同支持;另一方面,需要通过自动或半自动化的工具全面检测和识别企业网络中的各类API资产,并根据企业自有规则进行精细化分类管理。
l API安全不仅需要关注API自身的暴露面和漏洞信息、API的访问权限精细化管理、日志监控缺失等问题,还需要监测通过API流转的数据是否存在违规调用、敏感数据泄露、数据篡改等数据安全问题,企业应结合自身业务需求,合理规划防护重点并选择匹配的技术提供商。
l 对于业务部门来说,为了防护API安全而显著影响业务系统的响应速度是不可接受的。因此,企业在进行厂商能力评估时需要重点关注产品的性能表现,尤其是面向对通信速度有较高要求的业务系统提供API安全防护时,更要做好速度、功能、稳定性和一致性等多方面的平衡。