每日簡訊：盛邦安全入選IDC TechScape中國數(shù)據(jù)安全發(fā)展路線圖推薦廠商

2022-10-02 06:37:09來源：中關村在線

近日，IDC2022 CSO全球網(wǎng)絡安全峰會（中國站）在上海隆重開幕，會上首次發(fā)布《IDCTechScape：中國數(shù)據(jù)安全發(fā)展路線圖，2022》（以下簡稱：TechScape路線圖2022）。盛邦安全入選TechScape路線圖變革型技術曲線“API安全”技術推薦廠商，這是對盛邦安全在API安全技術領域持續(xù)創(chuàng)新與積累的重要認可。

(資料圖片)

TechScape路線圖旨在幫助用戶構建全方位數(shù)據(jù)安全治理體系，賦能用戶實現(xiàn)數(shù)據(jù)安全治理目標。本次發(fā)布的TechScape路線圖2022選取了18個新興及重要的數(shù)據(jù)安全技術進行分析，根據(jù)技術的市場影響以及各技術的發(fā)展階段，將其分為變革型技術、主導型技術以及機會型技術三大類別。通過對每個數(shù)據(jù)安全領域單項技術的部署情況、風險程度、市場熱度等內(nèi)容進行細致的研究，針對每項技術給出三個推薦廠商，從而為最終用戶在產(chǎn)品選型時提供技術參考。

API安全防護成為企業(yè)安全體系的重要組成部分

TechScape路線圖2022報告顯示，應用程序規(guī)模正在快速增長，API通過集成應用軟件的模式來更好地連接應用程序，已經(jīng)成為了應用程序連接、創(chuàng)新的基礎，給技術服務提供商和用戶帶來更多便利。然而，API也開始被眾多攻擊者所關注，非授權訪問、數(shù)據(jù)篡改與竊取、分布式拒絕服務、SQL注入等成為了攻擊者運用API進行攻擊的常用手段。

由于API的多樣性、復雜性，一個應用程序可能會連接多個不同語言體系的API，這無疑給最終用戶的API安全防護造成了很大困擾，許多用戶在攻擊事件發(fā)生后才意識到API風險。然而，由于企業(yè)廣泛存在API資產(chǎn)梳理不全面、不準確、開發(fā)過程中的API測試能力較弱、安全配置錯誤、身份認證與權限管控失誤、加密失敗、運行過程中持續(xù)的檢測監(jiān)測難、API安全意識薄弱等問題，API防護面臨諸多的困境。

盛邦安全API產(chǎn)品市場負責人認為，傳統(tǒng)的依賴API網(wǎng)關與WAF、IPS等防護設備聯(lián)動配合的方式，逐漸暴露出漏防、漏報、方案整合復雜程度高且針對性不足等缺點，越來越多的用戶需要部署專用的API檢測和防護設備，以實現(xiàn)API的全生命周期安全管理和控制。而IDC定義下的API安全，是一類幫助用戶緩解和保護API相關安全風險的解決方案，也是網(wǎng)絡安全技術應用的重要領域。

盛邦安全RayAPI保護API安全無虞

盛邦安全基于自身在網(wǎng)絡資產(chǎn)治理與應用安全領域的技術積累，推出了集API資產(chǎn)梳理與加固保護于一體的安全防護型產(chǎn)品——API安全防護系統(tǒng)（RayAPI），可以在API學習畫像的基礎上，對其進行權限加固、攻擊防護、數(shù)據(jù)保護和綜合審計，提供全面的管控手段。

為了應對不同環(huán)境下的各類安全需求，RayAPI逐漸形成了如下五個核心技術能力：

主被動結合的API學習引擎：采用主動探測與被動流量分析相結合的API學習引擎，可以全面梳理用戶業(yè)務中存在的API資產(chǎn)，并結合流量特征進行語義提取，識別API狀態(tài)、用途等屬性，從而實現(xiàn)標簽化的畫像管理，自動梳理出正常API、影子API與問題API等內(nèi)容；

啟發(fā)式攻擊檢測與防護引擎：采用特征檢測、語義分析與AI學習三合一的啟發(fā)式檢測引擎，通過對已知的攻擊規(guī)則與行為特征簡化判斷邏輯，并對引擎持續(xù)訓練，提升針對未知風險的發(fā)現(xiàn)能力，從而對API相關的注入攻擊、命令攻擊、異常訪問和非法內(nèi)容進行防護處置；

基于人機識別的API訪問控制：產(chǎn)品基于流量變化和行為特點等角度進行建模分析，梳理API訪問的基線并進行動態(tài)跟蹤，對未授權訪問、未知請求、非法調(diào)用和異常高頻請求等行為進行識別判斷，并利用反向校驗、訪問限制和白名單等方式進行訪問控制；

面向業(yè)務的API數(shù)據(jù)調(diào)用管控：產(chǎn)品采用全面的檢查點和豐富的數(shù)據(jù)處理模型，能夠結合業(yè)務特點來對組織敏感數(shù)據(jù)、個人隱私信息、業(yè)務關鍵信息和系統(tǒng)賬戶口令等數(shù)據(jù)進行精準識別、統(tǒng)計和分類梳理，并結合擦除、替換和訪問限制等手段來達到脫敏保護等目的；

面向API生命周期的態(tài)勢監(jiān)控：基于時間、空間、業(yè)務屬性和數(shù)據(jù)類型等多種維度對API資產(chǎn)進行監(jiān)控，對API上線狀態(tài)、運行狀況、調(diào)用可靠性、數(shù)據(jù)合法性以及威脅態(tài)勢進行綜合研判，實現(xiàn)API資產(chǎn)的細粒度審計和可視化分析。

基于領先的API防護技術與豐富的行業(yè)實踐，盛邦安全將持續(xù)優(yōu)化RayAPI，幫助用戶更好地對抗API攻擊，保護API安全無虞。

標簽：企業(yè)安全