API安全平臺(tái)

目前，得益于中國(guó)數(shù)字經(jīng)濟(jì)的快速發(fā)展和企業(yè)互聯(lián)網(wǎng)化進(jìn)程的不斷深入，API正被廣泛應(yīng)用于金融、社交媒體、交通、電商等各個(gè)行業(yè)。然而，隨著API數(shù)量和復(fù)雜性的不斷提高，當(dāng)前企業(yè)對(duì)API管理解決方案的需求也在迅速上升。Gartner預(yù)計(jì)，到2027年，中國(guó)超過50%的企業(yè)將使用API管理平臺(tái)來提高業(yè)務(wù)集成，相比2023年不到20%的比例將有明顯增加。

作為國(guó)內(nèi)最早關(guān)注API安全的廠商之一，瑞數(shù)信息推出的瑞數(shù)API安全管控平臺(tái)（API Bot Defender）包括API資產(chǎn)管理、 攻擊防護(hù)、敏感數(shù)據(jù)管控和訪問行為管控等模塊，與Gartner關(guān)注的API安全關(guān)鍵組成部分：API發(fā)現(xiàn)與分類、API威脅防護(hù)、API狀態(tài)管理、API訪問控制相呼應(yīng)，為API接口提供了完整的安全管控方案，從而能夠解決API面臨的各種安全風(fēng)險(xiǎn)與挑戰(zhàn)。

• API資產(chǎn)管理模塊：基于大數(shù)據(jù)建模自動(dòng)發(fā)現(xiàn)API接口，自動(dòng)對(duì)API接口實(shí)現(xiàn)分類、分組、并指派責(zé)任人，實(shí)現(xiàn)數(shù)據(jù)分權(quán)管理。自動(dòng)提取API接口樣式，為API接口提供可視化的詳情展示，幫助客戶實(shí)現(xiàn)API資產(chǎn)的生命周期管理。

• API攻擊防護(hù)模塊：基于智能威脅檢測(cè)引擎持續(xù)監(jiān)控并分析流量行為，用機(jī)器學(xué)習(xí)獲得的多種威脅模型來確定異常攻擊，同時(shí)利用語(yǔ)義分析和流量學(xué)習(xí)技術(shù)，精準(zhǔn)、快速識(shí)別各類攻擊，包括OWASP API Security Top10的安全攻擊檢測(cè)、API安全參數(shù)合規(guī)檢測(cè)、API接口調(diào)用順序檢測(cè)。

• API敏感數(shù)據(jù)管控模塊：內(nèi)置敏感信息檢測(cè)引擎，覆蓋姓名、手機(jī)號(hào)、身份證、銀行卡、密碼等18種敏感數(shù)據(jù)類型，對(duì)敏感信息進(jìn)行自動(dòng)分級(jí)，實(shí)時(shí)洞察API接口中雙向傳輸?shù)拿舾袛?shù)據(jù)、明文密碼和弱密碼，并及時(shí)對(duì)API接口回傳報(bào)文中的敏感信息進(jìn)行脫敏處理，規(guī)避數(shù)據(jù)泄漏風(fēng)險(xiǎn)。

• API異常行為監(jiān)控模塊：基于多維度實(shí)時(shí)監(jiān)控API接口的訪問行為，包括訪問成功率、耗時(shí)、 每秒事務(wù)處理量(TPS)、并發(fā)數(shù)等維度，建立API訪問基線，及時(shí)發(fā)現(xiàn)偏離基線的異常訪問 行為，及時(shí)發(fā)現(xiàn)未知的API和僵尸API。內(nèi)置API業(yè)務(wù)威脅模型，透視API常見的業(yè)務(wù)威脅，如撞庫(kù)、爬蟲等。

• API訪問控制模塊：內(nèi)置靈活A(yù)PI訪問控制策略，可基于API接口、源互聯(lián)網(wǎng)協(xié)議地址 (IP)、訪問頻率、客戶端指紋、API令牌、客戶代理(UserAgent)、超文本傳輸協(xié)議 (HTTP )請(qǐng)求特征等上百個(gè)基礎(chǔ)要素和用戶交互行為特征，對(duì)API接口實(shí)現(xiàn)精細(xì)化的訪問控制，支持多維度限頻、攔截、延時(shí)等。

2023年8月，瑞數(shù)信息正式發(fā)布《2023API安全趨勢(shì)報(bào)告》，從API威脅態(tài)勢(shì)、攻擊手段、API安全發(fā)展趨勢(shì)等多個(gè)方面進(jìn)行深度分析，剖析典型的API攻擊案例，并結(jié)合API趨勢(shì)，為企業(yè)做好API安全防護(hù)提供防護(hù)建議與參考指南。

WAAP上的API運(yùn)行保護(hù)將變得越來越重要

此外，Gartner在報(bào)告中指出，API安全的范圍正在不斷擴(kuò)大，目前中國(guó)API市場(chǎng)主要有兩種類型的產(chǎn)品：API安全平臺(tái)和WAAP（Web應(yīng)用程序和API保護(hù)），隨著API的大量使用，在WAAP上的API運(yùn)行保護(hù)將變得越來越重要。同時(shí)，云原生應(yīng)用程序的日益普及也在繼續(xù)推動(dòng)API使用的不斷增加。

瑞數(shù)信息作為國(guó)內(nèi)首批具備“云原生API安全能力+WAAP能力”認(rèn)證的專業(yè)廠商，此前連續(xù)被Gartner列為《中國(guó)ICT技術(shù)成熟度曲線報(bào)告》2021、2022、2023年度云安全領(lǐng)域代表廠商，《2022中國(guó)云安全資源池創(chuàng)新洞察》報(bào)告代表廠商，《Hype Cycle for Security in China, 2022》報(bào)告云安全資源池代表廠商；并于2023年8月與中國(guó)信通院云計(jì)算與大數(shù)據(jù)研究所聯(lián)合撰寫并發(fā)布《云上WAAP發(fā)展洞察報(bào)告（2023）》，足見瑞數(shù)信息在API、WAAP、云安全等綜合領(lǐng)域的強(qiáng)勁實(shí)力。

未來，瑞數(shù)信息也將持續(xù)創(chuàng)新技術(shù)、升級(jí)產(chǎn)品和服務(wù)，提升用戶API安全能力，在數(shù)字化潮流中助力企業(yè)構(gòu)建更全面穩(wěn)健的安全生態(tài)體系。

zhupb