題-1_1656554057.png)
隨著數(shù)字化進(jìn)程發(fā)展不斷提速,,越來越多的企業(yè)將服務(wù)線上化,企業(yè)無論是內(nèi)部還是與外部的數(shù)據(jù)調(diào)用都離不開API,導(dǎo)致API資產(chǎn)數(shù)量不斷增加,。2022年5月,,全球權(quán)威調(diào)研機(jī)構(gòu)451 Research在一份API安全調(diào)研報(bào)告中指出,,過去12個(gè)月內(nèi)參與調(diào)研的企業(yè)在API增長方面高達(dá)201%,,平均使用15564個(gè)API,,足以看出API資產(chǎn)增速之快,、使用之廣,。API連接的不僅是應(yīng)用和數(shù)據(jù),更是業(yè)務(wù)和價(jià)值,,幫助企業(yè)實(shí)現(xiàn)業(yè)務(wù)創(chuàng)新,,進(jìn)一步驅(qū)動數(shù)字化轉(zhuǎn)型。 與此同時(shí),,隨著API應(yīng)用的廣泛性,,其已成為最常見的攻擊媒介,API攻擊呈爆炸性增長,,導(dǎo)致企業(yè)的業(yè)務(wù)系統(tǒng)面臨極大的數(shù)據(jù)安全風(fēng)險(xiǎn),。
(1)_1659855349.png)
隨著業(yè)務(wù)不斷發(fā)展,越來越多的業(yè)務(wù)對外提供線上服務(wù),,API作為連接應(yīng)用和數(shù)據(jù)的核心通道,,其資產(chǎn)數(shù)量呈爆炸式增長。由于應(yīng)用系統(tǒng)龐雜,數(shù)據(jù)調(diào)用量大,,數(shù)據(jù)流轉(zhuǎn)關(guān)系復(fù)雜,,要想梳理清楚API資產(chǎn)是一件非常困難的事情。
容缺統(tǒng)計(jì)2_1659855393.png)
業(yè)務(wù)是不斷發(fā)展和變化的,,API同樣具有動態(tài)特性,。由于API的開發(fā)、維護(hù)和安全管控分屬不同的部門負(fù)責(zé),,信息的不對稱或人為疏忽,,導(dǎo)致API缺乏持續(xù)動態(tài)監(jiān)管能力。
據(jù)難識別_1659855369.png)
隨著API資產(chǎn)急劇增加,,大量暴露在互聯(lián)網(wǎng)上的API面臨越來越多的外部威脅,,而且部分新興威脅變得愈發(fā)復(fù)雜、多樣和隱蔽,,導(dǎo)致企業(yè)數(shù)據(jù)安全面臨極大挑戰(zhàn),。
自動發(fā)現(xiàn)全量API資產(chǎn),結(jié)合應(yīng)用和服務(wù)進(jìn)行API資產(chǎn)歸集,,基于API的請求和響應(yīng)內(nèi)容,,實(shí)現(xiàn)API資產(chǎn)標(biāo)簽、分類分級處理,,比如用戶登錄API,、用戶訪問API、數(shù)據(jù)庫訪問API,、文件上傳/下載API,,外網(wǎng)/內(nèi)網(wǎng)API和敏感/非敏感API等。
強(qiáng)化API全生命周期動態(tài)監(jiān)管能力,,當(dāng)其發(fā)生變化時(shí)能夠及時(shí)有效感知,,如新API上線,存量API變更(由非敏感API變?yōu)槊舾蠥PI)和API失活(調(diào)用頻次降低或長期未調(diào)用),。
基于語義分析,、周期性分析和異常行為基線分析,構(gòu)建風(fēng)險(xiǎn)識別規(guī)則模型庫,,針對API請求參數(shù)和響應(yīng)內(nèi)容進(jìn)行實(shí)時(shí)檢測,,有效發(fā)現(xiàn)API訪問行為中的資產(chǎn)脆弱性風(fēng)險(xiǎn)、數(shù)據(jù)暴露風(fēng)險(xiǎn)和數(shù)據(jù)泄露風(fēng)險(xiǎn),。
險(xiǎn)拷貝@3x_1660740954.jpg)
(1)_1659855407.png)
API資產(chǎn)自動發(fā)現(xiàn)
消除資產(chǎn)管理盲區(qū)
監(jiān)管_1659855417.png)
全生命周期動態(tài)監(jiān)管
避免過程管理失控
識別(1)_1659855463.png){kind=icon}
多場景風(fēng)險(xiǎn)識別
有效降低API資產(chǎn)風(fēng)險(xiǎn)
_1660204974.png)
系電話_1657091297.png)
_1657090934.png)
