API安全整体解决方案全新发布,重磅新增API 网关系统!
日期:2022年05月07日 阅:101
API安全问题并不陌生。就在去年,国内某头部互联网企业对外开放的订单评价API被攻陷,攻击者持续、批量爬取加密数据,爬取字段量巨大;由于涉事企业没有发现异常流量行为并及时拦截,导致十亿余条客户敏感数据遭到泄露。
事实上,随着移动应用APP、前后端分离、微服务架构、中台战略等技术的兴起应用,API早已成为驱动创新发展的关键组成部分,也是各行业提速数字化转型的核心支撑能力。API接口数量与日俱增,在提升业务服务效能的同时,也增加了企业的风险敞口,尤其是数据泄漏问题。
一、API安全威胁攻势迅猛
API是传输数据和连接服务的重要通道,携带着大量敏感数据。在互联网环境愈发开放的背景下,针对API的攻击风险和攻击频率正在急速增长,API成了外部安全攻击的主要对象之一。有数据统计显示,API请求占所有应用请求的83%,预计2024年API请求命中数将达到42万亿次。
纵观近几年发生的重量级数据泄露事件,大多都源起于API的“破防”,如:5.33亿Facebook用户的个人信息在线泄露,起因为2020年的API安全漏洞;黑客滥用官方 LinkedIn API 下载数据,致使7亿多用户数据遭到泄漏,并在暗网上出售;Instagram 由于其API存在漏洞,让黑客非法获取到数名高知名度用户的敏感信息……
相比早期的web系统,API面临的安全环境异常复杂:除了API请求发起端,还有相应的客户端及服务端,服务器端会增加大量的服务接口API;同时业务的不断变化让接口生命周期差异很大,API分布生态混乱无章,容易失去有效管控;此外,远程办公、系统上云、内部 OA 等业务系统的部署应用,使得API应用场景十分丰富,衍生出了大量复杂风险。
二、新一代API安全解决方案
安全可控是支撑创新开放的先决前提。API接口作为外部网络攻击的主要切入点,在安全攻防中是至关重要的资产信息;只有对其进行针对性的持续监测与有效防护,才能有效控制API数据安全风险。
全知科技推出的新一代API安全整体解决方案,聚焦API风险监测、API攻击防护、API数据安全统一运营三大核心能力,基于对访问的事件进行在线加离线的分析,构建全新的API数据安全实践思路。
方案通过分析http&https流量,梳理API接口资产,发现API潜在的风险隐患,并持续检测、拦截黑灰产数据窃取和恶意攻击行为,为企业提供API梳理、API弱点评估、持续的API风险监测和防护等能力,帮助企业形成一体化的API安全防护体系。
作为全知科技的全新推出的“拳头产品”,API网关系统不仅解决了加密https流量问题,还能联动API风险监测系统执行恶意行为的拦截及对敏感响应内容的动态脱敏,真正实现了API风险的闭环。
API网关系统承担着所有业务系统集成API的统一出入口,采用协议代理技术,基于插件化的思路开发设计,具有灵活的配置机制,具备代理转发、访问控制、熔断机制、风险拦截、动态脱敏等核心能力。
API风险监测系统通过对API网关转发的http/https流量进行分析,让企业清晰了解企业内部有哪些资产、有哪些存在敏感数据的资产、有哪些存在弱点的API、有没有恶意人员来利用这些API弱点行使恶意行为;同时能够针对恶意的风险行为下发拦截策略给API网关进行恶意行为的拦截。
API管理平台通过接收多台API风险监测系统中的数据,实现对这些数据的统一运营管理,一方面实现了企业内部资产、弱点、风险的集中管理,另一方面能够帮助企业提效,节省大量的安全运营工作。
API风险监测系统发现了一个存在伪脱敏弱点的API,此时,API风险监测系统可下发策略给API网关,对此弱点API中返回的敏感数据进行动态脱敏,API网关在执行此命令后,我们可以看到返回给客户的数据是脱敏之后的数据了。
API风险监测系统发现了一个水平越权拉取敏感数据的风险,这种访问容易造成客户数据的大批量泄露;此时,API风险监测系统下发了拦截策略到API网关,API网关执行拦截策略之后,我们发现此IP已经访问不了当前后端服务了。
全知科技是国内首家推出API数据安全产品的数据安全服务商,旗下API安全产品已在各地政府、金融、互联网、运营商、医疗等各领域覆盖应用,为企业提供多维度的API安全能力。
API安全不容忽视,如果您正在面临API安全的困扰,可扫描上方二维码,免费试用API安全产品。
全知科技(杭州)有限责任公司是国内领先的数据安全服务商,由国际级安全专家方兴发起创立。率先提出“以数据为中心的数据流动安全解决方案”,引起市场的高度关注。基于此核心理念,重点打造“知形-应用数据风险监测系统”与“知影-API风险监测系统”,解决企业数据安全的“内忧外患”,让数据风险全知道!