由于API數(shù)量增長(zhǎng)太快,很多企業(yè)都不清楚自己擁有多少個(gè)API,以及API處于什么樣的狀態(tài)。如果沒(méi)有深度的API資產(chǎn)梳理,安全團(tuán)隊(duì)根本無(wú)法了解企業(yè)API的真實(shí)資產(chǎn)情況,也無(wú)法預(yù)估數(shù)據(jù)暴露的風(fēng)險(xiǎn)。
因此,瑞數(shù)信息引入API資產(chǎn)管理,通過(guò)對(duì)訪(fǎng)問(wèn)流量進(jìn)行分析,自動(dòng)發(fā)現(xiàn)流量中的API接口,對(duì)API接口進(jìn)行自動(dòng)識(shí)別、梳理和分組。同時(shí),通過(guò)從API網(wǎng)關(guān)上獲取API注冊(cè)數(shù)據(jù),與API資產(chǎn)進(jìn)行對(duì)比,從而發(fā)現(xiàn)未知API接口。
通過(guò)自動(dòng)化、多樣化的API網(wǎng)絡(luò)攻擊,黑客不僅可以達(dá)到消耗系統(tǒng)資源、中斷服務(wù)的目的,還可以通過(guò)逆向工程,掌握 API 應(yīng)用、部署情況,并監(jiān)聽(tīng)未加密數(shù)據(jù)傳輸,竊取企業(yè)數(shù)據(jù)。
對(duì)此,瑞數(shù)信息綜合利用智能規(guī)則匹配及行為分析的智能威脅檢測(cè)引擎,持續(xù)監(jiān)控并分析流量行為,有效檢測(cè)威脅攻擊。智能威脅檢測(cè)引擎能在用戶(hù)與應(yīng)用程序交互的過(guò)程中收集數(shù)據(jù),并利用統(tǒng)計(jì)模型來(lái)確定HTTP請(qǐng)求的異常。一旦確定異常情況,智能引擎就會(huì)使用機(jī)器學(xué)習(xí)獲得的多種威脅模型來(lái)確定異常攻擊,并對(duì)安全攻擊進(jìn)行實(shí)時(shí)防護(hù)。同時(shí),對(duì)API請(qǐng)求參數(shù)進(jìn)行合規(guī)管控,對(duì)不符合規(guī)范的請(qǐng)求參數(shù)實(shí)時(shí)管控。
如果企業(yè)未對(duì)敏感信息等數(shù)據(jù)進(jìn)行脫敏處理,且未加密傳輸,一旦流量被截獲、破解,將對(duì)企業(yè)、公民個(gè)人權(quán)益造成嚴(yán)重影響。此外,未脫敏數(shù)據(jù)在傳輸至前端時(shí),如被接收方終端緩存,也可能導(dǎo)致敏感數(shù)據(jù)暴露。
瑞數(shù)API安全管控平臺(tái)(API BotDefender)因此會(huì)對(duì)API傳輸中,諸如手機(jī)號(hào)、銀行卡號(hào)、身份證號(hào)等的敏感數(shù)據(jù)進(jìn)行識(shí)別和過(guò)濾,并可以針對(duì)敏感數(shù)據(jù)進(jìn)行脫敏或者實(shí)時(shí)攔截,規(guī)避數(shù)據(jù)安全風(fēng)險(xiǎn)。
如今API攻擊多以合法身份登錄后,模擬正常操作、多源低頻請(qǐng)求,因此企業(yè)很難察覺(jué)訪(fǎng)問(wèn)行為是否異常。
瑞數(shù)API安全管控平臺(tái)(API BotDefender)通過(guò)建立多維度訪(fǎng)問(wèn)基線(xiàn)和API威脅建模,對(duì)API接口的訪(fǎng)問(wèn)行為進(jìn)行監(jiān)控和分析。一方面,監(jiān)控基線(xiàn)偏離狀況,針對(duì)高頻情況等進(jìn)行防護(hù),防止高頻情況等造成的API性能瓶頸;另一方面,高效識(shí)別異常訪(fǎng)問(wèn)行為,避免惡意訪(fǎng)問(wèn)造成的業(yè)務(wù)損失。
同時(shí),為了防止非法API調(diào)用,瑞數(shù)API安全管控平臺(tái)(API BotDefender)通過(guò)從API網(wǎng)關(guān)上獲取API認(rèn)證和鑒權(quán)數(shù)據(jù),防止未授權(quán)的API調(diào)用,保障API接口只能被合法用戶(hù)訪(fǎng)問(wèn)。
總體而言,相較于傳統(tǒng)API安全方案,瑞數(shù)API安全管控平臺(tái)(API BotDefender)著重強(qiáng)調(diào)API安全防護(hù)能力的提升,以行為分析為基礎(chǔ)實(shí)現(xiàn)從API接入客戶(hù)端到API服務(wù)器端的全程式API安全威脅防護(hù),其優(yōu)勢(shì)也十分明顯:
瑞數(shù)API安全管控平臺(tái)(API BotDefender)的“Discover發(fā)現(xiàn)模塊”,可以快速自動(dòng)地發(fā)現(xiàn)API,并且針對(duì)發(fā)現(xiàn)的API給出明確的認(rèn)定;同時(shí),顯示出清晰的API列表,對(duì)API接口的訪(fǎng)問(wèn)情況一目了然。
瑞數(shù)API安全管控平臺(tái) (API BotDefender),采用全程式安全威脅防護(hù)技術(shù),從而利于精準(zhǔn)地構(gòu)建API畫(huà)像;通過(guò)API畫(huà)像,可以快速預(yù)覽各個(gè)業(yè)務(wù)的API情況,包括使用情況、異常情況、訪(fǎng)問(wèn)來(lái)源等。
提供各種SDK,方便與各類(lèi)API來(lái)源應(yīng)用進(jìn)行集成,可以對(duì)來(lái)源環(huán)境和用戶(hù)行為進(jìn)行感知。
可根據(jù)行為分析的結(jié)果或指定條件,進(jìn)行動(dòng)態(tài)響應(yīng)防護(hù),提升通過(guò)逆向探測(cè)或機(jī)器學(xué)習(xí)分析等攻擊手段的難度。
此外,瑞數(shù)API安全管控平臺(tái) (API BotDefender)的部署方式非常靈活,支持軟件、硬件和云的方式進(jìn)行部署,可以大大降低部署、管理和維護(hù)成本。同時(shí),占用資源少,不影響服務(wù)器的正常運(yùn)行,可以實(shí)現(xiàn)應(yīng)用無(wú)感知部署。
目前,瑞數(shù)信息憑借其突出的技術(shù)實(shí)力和防護(hù)能力,其產(chǎn)品在金融、政府、運(yùn)營(yíng)商三大行業(yè)得到了成功應(yīng)用,“瑞數(shù)API安全管控解決方案”更榮獲“2021金融業(yè)新技術(shù)應(yīng)用創(chuàng)新突出貢獻(xiàn)獎(jiǎng)”,表明了行業(yè)客戶(hù)對(duì)瑞數(shù)技術(shù)創(chuàng)新能力和優(yōu)異應(yīng)用效果的充分認(rèn)可。在API安全日益重要的今天,如瑞數(shù)API BotDefender這類(lèi)具備先進(jìn)防護(hù)策略和創(chuàng)新技術(shù)的API安全產(chǎn)品,可以更好地幫助企業(yè)應(yīng)對(duì)未知威脅、安全管控API,保證業(yè)務(wù)的正常高效運(yùn)轉(zhuǎn)。