APISEC安全平台
当今社会数字化的趋势已经无法阻挡,各个行业也趋向从信息孤岛、单体架构的窘境走出,转型为业务型、开放的、共享的智能化的数字化平台。API作为应用程序的数据传输通道,可以帮助企业发掘并维系客户、构筑全新的业务生态、转变战略性商业模式、提高运营效率,进行企业的数字化转型。API不仅仅适用于银行、医疗等数字化场景,也可以作为各行各业系统集成的手段。如今社会上已逐渐形成独具特色的API经济形态。
- 系统简介
- 产品功能介绍
当今社会数字化的趋势已经无法阻挡,各个行业也趋向从信息孤岛、单体架构的窘境走出,转型为业务型、开放的、共享的智能化的数字化平台。API作为应用程序的数据传输通道,可以帮助企业发掘并维系客户、构筑全新的业务生态、转变战略性商业模式、提高运营效率,进行企业的数字化转型。API不仅仅适用于银行、医疗等数字化场景,也可以作为各行各业系统集成的手段。如今社会上已逐渐形成独具特色的API经济形态。
然而,由于API管控不当、缺乏有效的检测手段,导致恶意攻击、数据泄露等事件频繁发生,Gartner等权威机构指出API已成为数字化转型进程中主要的攻击目标。作为一种针对API的新型的攻击方式,传统的WAF等防护设备由于需要大量的调整和维护,而API的多样性和高速发展使得它们难以应对。
喜数致力于API安全的研究,研发出APISEC安全平台,具备API资产发现、脆弱性分析、异常行为分析、数据安全分析的四大功能,基于API的全生命周期,为企业应用系统的安全保驾护航。
产品功能
API资产管理:①分析API高危、中危、低危的涉敏等级,对传输银行卡、手机号、IP地址等不同类型的敏感数据的API自动添加标签,实时感知涉敏API;②基于API画像、漏洞类型、异常事件、数据标签、API访问基线等,构建API行为画像,从多种维度掌握API风险;③自动识别僵尸API、影子API、下线API,从登录、上传、下载、新增、更新、删除、查询等的不同使用类型对API进行分类汇总,全面梳理API资产;④此外,APISEC可自动生成Swagger文档,方便API管理。
异常行为分析:①异常行为分析功能可以对API使用过程中的攻击流量进行实时监测和分析,识别和预防潜在的攻击威胁并提供详细的攻击报告和可视化展示,以便于安全管理员对攻击事件做出及时和有效的响应;②内置账号暴力破解、IP高频撞库、弱密码登录、机器人攻击、验证码暴力破解、访问异常等算法模型;③通过智能机器学习算法,结合行为基线,定位攻击源,明确异常行为。
脆弱性分析:①集成多种Payload(攻击脚本库),结合Fuzzing(模糊测试),对API风险主动探测,实现对API风险的预判;②通过对异常流量分析,验证API访问结果,实现对API流量分析出API脆弱性;③主动探测结合流量分析,达到API检测效果的互补,实现对API风险精准报警。
数据安全分析:①数据安全分析功能可以对API的请求和响应数据进行深入分析和检测,以识别敏感数据的泄漏和不当使用,包括授权管理、数据脱敏等措施,确保API使用过程中数据的安全性和隐私性;②内置敏感数据标签,如国家或行业数据安全标准,结合自定义敏感数据识别规则,实时感知敏感数据。
部署架构
旁路部署,支持虚拟机部署、容器部署,可以在不妨碍原有系统架构的基础上,支持多功能的拓展。
应用场景
喜数APISEC提供API资产发现、检测、监控、分析、动态防护等功能,保障应用系统的安全,适用于多种应用场景:
在线应用:随着微服务的增多、应用部署容器化、云原生的兴起,应用程序更加依赖于API架构来驱动,传统基于边界的防护模型已不能适应应用发展的安全需求。最典型的是,BanK无界开放银行,将场景金融融入互联网生态,API就像“连接器”,把银行与各行业连接起来,构成一个开放共享、共建共赢的生态圈。这种特性要求进行传统防护模式的转变,从基于边界的防护转向无边界的基于API安全的防护。
物联网:在万物互联的时代,物联网应用通常使用传感器等设备来采集信息,在应用层通过API进行数据的运算处理及智能化交互。API可以灵活适配于硬件终端、桌面、移动应用及云端等多种运行环境,如今已应用于车联网、智能家居、智慧能源、智慧医疗、智能安防等多种智能化场景。基于这些特点,物联网应用的安全需求的重心逐渐转向API安全的防护。
内部应用:企业为适应信息化、数字化转型的发展,需快速完成资源整合和统一管理,聚力发展业务,通常采用内部系统对接的方式,API作为各系统数据互通的关键,实现了资源和服务的快速共享和集成。由于API 直通企业核心应用系统,直接影响了企业关键业务和重要数据,因此企业内部应用在API层面的安全面临巨大挑战。