自新冠疫情爆發(fā)以來，全球范圍內的組織在數字化轉型上的步伐呈現明顯加速趨勢。谷歌發(fā)布的《2021 API 經濟報告》中指出，在2020年，近四分之三的組織繼續(xù)在數字化轉型上投資，其中，三分之二的組織加大投資或作出戰(zhàn)略調整，實行數字優(yōu)先戰(zhàn)略。

數字化轉型的核心是將組織的服務、資產和能力打包成互聯網服務，從而讓資源之間形成更強的連接和互動關系，釋放原有資產的價值，提升組織的服務能力，這其中，API是非常關鍵的技術。

隨著數字化進程的發(fā)展，組織正在大量使用API。越來越多的APP被開發(fā)出來，開放架構在創(chuàng)新場景中的使用也越來越多。有數據統(tǒng)計，整個Web網站有83%的流量是通過API來訪問的。也有數據顯示，44%企業(yè)正在建造和維護100個或更多的API，API流量正在快速增長。

API在帶來巨大便利的同時也帶來了新的安全問題， 很多企業(yè)甚至自己的不知道有多少API被開放，是否受控使用和有效使用，有怎樣的安全風險和隱患，就更不得而知。API安全正受到業(yè)界和學術界的廣泛關注，開放Web應用程序安全項目(OWASP)在2019年將API列為最受關注的十大安全問題。2020年，中國人民銀行發(fā)布了《商業(yè)銀行應用程序接口安全管理規(guī)范》，三大運營商也相繼發(fā)布了API安全管理規(guī)范。

API安全造成的影響越來越大，而傳統(tǒng)API安全網關的部署與維護成本高，無法有效防護新興安全威脅。在此背景下，瑞數信息創(chuàng)新地推出了API安全管控平臺——API BotDefender，致力于解決API面臨的各種安全風險與挑戰(zhàn)，實現API的資產管理、攻擊防護、敏感數據管控和訪問行為管控，為業(yè)務創(chuàng)新保駕護航。

API安全的常見解決方案

許多企業(yè)都會參照OWASP十大項目做安全防護，但2019年OWASP發(fā)布的API安全十大項目發(fā)布的時間較短，許多企業(yè)還沒能及時作出相應防護。由于API安全涉及的范圍比較廣，一些常見的安全問題并沒有被列入其中，即使是對應API安全十大項目作出防護仍會有一些不足。

API安全市場也處于相對早期階段，從目前的API安全市場來看，主要有兩類API安全解決方案:

第一種，API安全網關方案。

API技術的興起伴隨著技術架構上的變化，由于Http協議的問題造成了很大安全隱患。為了保障安全，需要開發(fā)者在開發(fā)階段針對API加入鑒權、認證以及防篡改方面的安全工作。同時，需要API網關之類的安全防護產品作出相應配置。

2015年前后，市場上出現了以獨立的API網關為主的API安全解決方案，但在實際應用中發(fā)現，這種方案落地困難且成本較高，企業(yè)更傾向于使用應用開發(fā)者自建的API網關，專業(yè)的基于API網關的API安全方案沒有獲得預想的成功，于是API網關的產品形態(tài)還在繼續(xù)演進。

在Gartner最新的WAF魔力象限中，提到了Web應用程序和API防護服務相結合的最新趨勢——WAAP，這是一種集合了DDoS、Bot緩解，API防護和WAF的安全防護平臺。Gartner有意將WAF與API防護能力結合起來，使得許多WAF廠商開始在WAF里集成API網關。

作為安全產品形態(tài)上的一種自然而然的演化，它的主要問題在于缺少數據分析和管理的能力。

第二種，基于數據分析的API安全方案。

通過AI技術對API的訪問行為進行分析，發(fā)現API的各種異常訪問行為，提供API的管理。與API安全網關方案相比，此方案缺少的是安全威脅防控能力。

瑞數信息的應對之道——瑞數API安全管控平臺(API BotDefender)

瑞數信息于2019年就推出具有API感知、發(fā)現、監(jiān)控、保護能力的API安全解決方案，今年更將此能力聚焦于API安全管控的4大核心功能，形成——瑞數API安全管控平臺(API BotDefender)，該平臺包括API資產管理、攻擊防護、敏感數據管控和訪問行為管控四大模塊，為API接口提供完整的安全管控方案。作為國內最早推出API安全管控解決方案之一的廠商，它充分體現了瑞數信息對于市場的觀察和理解：

瑞數信息API安全管控平臺，主要面向新興的API安全風險，彌補了傳統(tǒng)方案中的不足。技術路線上，沒有選擇傳統(tǒng)的API網關技術，而是將WAF的安全管控能力與數據安全分析能力進行結合，是一種結合了以上兩種API安全方案優(yōu)勢的全新方案。

資產管理模塊

通過引入API資產管理，實現對API資產的統(tǒng)一管理。API資產管理基于數據建模自動發(fā)現被保護站點的API資產，對API資產進行梳理、分析和上下線，幫助客戶實現API資產的生命周期管理。

攻擊防護模塊

綜合利用智能規(guī)則匹配及行為分析的智能威脅檢測引擎，持續(xù)監(jiān)控并分析流量行為，有效檢測威脅攻 擊。智能威脅檢測引擎在用戶與應用程序交互的過程中收集數據，并利用統(tǒng)計模型來確定HTTP請求的異常。一旦確定異常情況，智能引擎就會使用機器學習獲得的多種威脅模型來確定異常攻擊。

敏感數據管控模塊

對API傳輸中的敏感數據進行識別，針對敏感數據可以進行脫敏或者實時攔截，防止敏感數據泄露。

訪問行為管控模塊

對API接口的訪問行為進行分析，通過多維度建立API訪問基線、API威脅建模，發(fā)現惡意訪問行為，避免惡意 訪問造成的業(yè)務損失。

主要應用場景

API資產自動發(fā)現

API安全管控平臺通過對訪問流量進行分析，自動發(fā)現流量中的API接口，實現API接口自動識別、梳理和分組。

API攻擊防護

識別各種針對API的安全攻擊，對安全攻擊進行實時防護;對API請求參數進行合規(guī)管控，對不符合規(guī)范的請求參數實時管控。

API流量監(jiān)控與保護

監(jiān)控API的訪問行為，針對高頻情況等進行防護，防止高頻情況等造成的API性能瓶頸。

非法API調用防護

通過從API網關上獲取API認證和鑒權數據，防止未授權的API調用，保障API接口只能被合法用 戶訪問。

API濫用防護

針對API接口，防止其被濫用并用于謀取利益。

API資產生命周期管理

對發(fā)現的API接口進行生命周期管理，基于關鍵字搜索功能快速分組，并且對分組后的 API資產指定責任人，實現API資產的導入和導出、資產上下線。

API敏感數據管控

對API傳輸中的敏感數據進行識別，針對敏感數據可以進行模糊化或者實時攔截，防止敏感數據泄露。

未知API發(fā)現

通過從API網關上獲取API注冊數據，與API資產進行對比，發(fā)現未知API接口，防止未知API 訪問造成的業(yè)務訪問壓力，導致業(yè)務不可用。

API訪問行為管控

監(jiān)控API接口的訪問和使用狀況，包括成功率、性能等，通過建立多維度訪問基線和API威脅建模，監(jiān)控基線偏離狀況，高效識別異常訪問行為，避免惡意訪問造成的業(yè)務損失。

核心優(yōu)勢

瑞數API安全管控平臺(API BotDefender)，能夠實現從API接入客戶端到API服務器端的全程式API安全威脅防護。

API全自動發(fā)現

瑞數API安全管控平臺(API BotDefender)的“Discover發(fā)現模塊”，可以快速自動地發(fā)現API，并且針對發(fā)現的API給出明確的認定;同時，顯示出清晰的API列表，對API接口的訪問情況一目了然。

構建API畫像

瑞數API安全管控平臺 (API BotDefender)，采用全程式安全威脅防護技術，從而利于精準地構建API畫像;通過API畫像，可以快速預覽各個業(yè)務的API情況，包括使用情況、異常情況、訪問來源等。

API全渠道感知

提供各種SDK，方便與各類API來源應用進行集成，可以對來源環(huán)境和用戶行為進行感知。

動態(tài)響應防護

可根據行為分析的結果或指定條件，進行動態(tài)響應防護，提升通過逆向探測或機器學習分析等攻擊手段的難度。

此外，瑞數API安全管控平臺的部署方式非常靈活，支持軟件、硬件和云的方式進行部署，可以大大降低部署、管理和維護成本。同時，占用資源少，不影響服務器的正常運行，可以實現應用無感知部署。

目前，API安全問題在金融、政府、運營商三大行業(yè)獲得了廣泛的關注，瑞數API安全管控平臺也憑借其突出的技術實力和防護能力，在該三大行業(yè)成功應用，全面助力用戶解決API安全層面的各類問題，為業(yè)務的創(chuàng)新和穩(wěn)定進行保駕護航!