随着数字化进程发展不断提速,越来越多的企业将服务线上化,企业无论是内部还是与外部的数据调用都离不开API,导致API资产数量不断增加。2022年5月,全球权威调研机构451 Research在一份API安全调研报告中指出,过去12个月内参与调研的企业在API增长方面高达201%,平均使用15564个API,足以看出API资产增速之快、使用之广。API连接的不仅是应用和数据,更是业务和价值,帮助企业实现业务创新,进一步驱动数字化转型。 与此同时,随着API应用的广泛性,其已成为最常见的攻击媒介,API攻击呈爆炸性增长,导致企业的业务系统面临极大的数据安全风险。
自动发现全量API资产,结合应用和服务进行API资产归集,基于API的请求和响应内容,实现API资产标签、分类分级处理,比如用户登录API、用户访问API、数据库访问API、文件上传/下载API,外网/内网API和敏感/非敏感API等。
强化API全生命周期动态监管能力,当其发生变化时能够及时有效感知,如新API上线,存量API变更(由非敏感API变为敏感API)和API失活(调用频次降低或长期未调用)。
基于语义分析、周期性分析和异常行为基线分析,构建风险识别规则模型库,针对API请求参数和响应内容进行实时检测,有效发现API访问行为中的资产脆弱性风险、数据暴露风险和数据泄露风险。