随着数字化进程发展不断提速,越来越多的企业将服务线上化,企业无论是内部还是与外部的数据调用都离不开API,导致API资产数量不断增加。2022年5月,全球权威调研机构451 Research在一份API安全调研报告中指出,过去12个月内参与调研的企业在API增长方面高达201%,平均使用15564个API,足以看出API资产增速之快、使用之广。API连接的不仅是应用和数据,更是业务和价值,帮助企业实现业务创新,进一步驱动数字化转型。 与此同时,随着API应用的广泛性,其已成为最常见的攻击媒介,API攻击呈爆炸性增长,导致企业的业务系统面临极大的数据安全风险。
_1659855349.png)
随着业务不断发展,越来越多的业务对外提供线上服务,API作为连接应用和数据的核心通道,其资产数量呈爆炸式增长。由于应用系统庞杂,数据调用量大,数据流转关系复杂,要想梳理清楚API资产是一件非常困难的事情。
业务是不断发展和变化的,API同样具有动态特性。由于API的开发、维护和安全管控分属不同的部门负责,信息的不对称或人为疏忽,导致API缺乏持续动态监管能力。
随着API资产急剧增加,大量暴露在互联网上的API面临越来越多的外部威胁,而且部分新兴威胁变得愈发复杂、多样和隐蔽,导致企业数据安全面临极大挑战。
自动发现全量API资产,结合应用和服务进行API资产归集,基于API的请求和响应内容,实现API资产标签、分类分级处理,比如用户登录API、用户访问API、数据库访问API、文件上传/下载API,外网/内网API和敏感/非敏感API等。
强化API全生命周期动态监管能力,当其发生变化时能够及时有效感知,如新API上线,存量API变更(由非敏感API变为敏感API)和API失活(调用频次降低或长期未调用)。
基于语义分析、周期性分析和异常行为基线分析,构建风险识别规则模型库,针对API请求参数和响应内容进行实时检测,有效发现API访问行为中的资产脆弱性风险、数据暴露风险和数据泄露风险。
_1659855407.png)
API资产自动发现
消除资产管理盲区
全生命周期动态监管
避免过程管理失控
_1659855463.png){kind=icon}
多场景风险识别
有效降低API资产风险
_1660204974.png)
_1657090934.png)
