8月26日，IDC 2022 CSO全球網(wǎng)絡(luò)安全峰會(huì)（中國站）在上海隆重開幕，會(huì)上首次發(fā)布《IDC TechScape：中國數(shù)據(jù)安全發(fā)展路線圖，2022》，旨在幫助用戶構(gòu)建全方位數(shù)據(jù)安全治理體系，以各項(xiàng)數(shù)據(jù)安全和密碼技術(shù)在治理體系中的重點(diǎn)能力模塊，賦能用戶實(shí)現(xiàn)數(shù)據(jù)安全治理目標(biāo)。盛邦安全入選變革型技術(shù)曲線“API安全”技術(shù)推薦廠商，是對(duì)盛邦安全在API安全技術(shù)領(lǐng)域持續(xù)創(chuàng)新與積累的重要認(rèn)可。

本次發(fā)布的TechScape選取了18個(gè)新興及重要的數(shù)據(jù)安全技術(shù)進(jìn)行分析，根據(jù)技術(shù)的市場(chǎng)影響以及各技術(shù)的發(fā)展階段將其分為變革型技術(shù)、主導(dǎo)型技術(shù)以及機(jī)會(huì)型技術(shù)三大類別。通過對(duì)每個(gè)數(shù)據(jù)安全領(lǐng)域單項(xiàng)技術(shù)的部署情況、風(fēng)險(xiǎn)程度、市場(chǎng)熱度等內(nèi)容進(jìn)行細(xì)致的研究，針對(duì)每項(xiàng)技術(shù)給出三個(gè)推薦廠商，從而為最終用戶在產(chǎn)品選型時(shí)提供技術(shù)參考。盛邦安全入選IDC中國數(shù)據(jù)安全發(fā)展路線圖“API安全”技術(shù)推薦廠商。

API安全防護(hù)，應(yīng)站在全生命周期管理的全局視角

《IDC TechScape：中國數(shù)據(jù)安全發(fā)展路線圖，2022》報(bào)告顯示，在當(dāng)下應(yīng)用程序蓬勃發(fā)展的時(shí)代， API通過集成應(yīng)用軟件的模式來更好地連接應(yīng)用程序，已經(jīng)成為了應(yīng)用程序連接、創(chuàng)新的基礎(chǔ)，是現(xiàn)代通信應(yīng)用的重要組成部分，然而，API內(nèi)在連接數(shù)據(jù)、內(nèi)容的屬性在給技術(shù)服務(wù)提供商和用戶帶來便利的同時(shí)，也開始被眾多攻擊者所關(guān)注，非授權(quán)訪問、數(shù)據(jù)篡改與竊取、分布式拒絕服務(wù)、SQL注入等成為了攻擊者運(yùn)用API進(jìn)行攻擊的常用手段， API安全日漸成為了一個(gè)重要的數(shù)據(jù)安全、應(yīng)用安全領(lǐng)域。

由于API的多樣性、復(fù)雜性，一個(gè)應(yīng)用程序也許會(huì)連接多個(gè)不同語言體系的 API，這無疑給最終用戶的API安全防護(hù)造成了很大困擾，許多用戶在攻擊事件發(fā)生后才意識(shí)到了API風(fēng)險(xiǎn)?？傮w來看，最終用戶面臨的API安全防護(hù)困境主要集中在API資產(chǎn)梳理不全面、不準(zhǔn)確、開發(fā)過程中的API測(cè)試能力較弱、安全配置錯(cuò)誤、身份認(rèn)證與權(quán)限管控失誤、加密失敗、運(yùn)行過程中持續(xù)的檢測(cè)監(jiān)測(cè)難、API安全意識(shí)薄弱等問題。

IDC定義下的API安全，是一類幫助用戶緩解和保護(hù)API相關(guān)安全風(fēng)險(xiǎn)的解決方案。目前，傳統(tǒng)在Web應(yīng)用安全網(wǎng)關(guān)等產(chǎn)品中的API防護(hù)功能已經(jīng)不足以防護(hù)日益復(fù)雜的API攻擊，API安全應(yīng)站在全生命周期管理的角度，從API安全開發(fā)和部署（API測(cè)試等）開始，配合加密、身份認(rèn)證、權(quán)限管控、API安全測(cè)試、檢測(cè)、監(jiān)測(cè)、威脅防護(hù)、威脅處理等能力來進(jìn)行管理和控制。

盛邦安全API安全防護(hù)系統(tǒng)，助力數(shù)字時(shí)代的API安全治理

盛邦安全基于自身在網(wǎng)絡(luò)資產(chǎn)治理與應(yīng)用安全領(lǐng)域的技術(shù)積累，推出了集API資產(chǎn)梳理與加固保護(hù)于一體的安全防護(hù)型產(chǎn)品——API安全防護(hù)系統(tǒng)（RayAPI），在API學(xué)習(xí)畫像的基礎(chǔ)上，對(duì)其進(jìn)行權(quán)限加固、攻擊防護(hù)、數(shù)據(jù)保護(hù)和綜合審計(jì)，提供全面的管控手段。

API安全防護(hù)體系建設(shè)思路

“我們可以看到，傳統(tǒng)的依賴API網(wǎng)關(guān)與WAF、IPS等防護(hù)設(shè)備聯(lián)動(dòng)配合的方式，逐漸暴露出方案整合復(fù)雜程度高且針對(duì)性不足等缺點(diǎn)。在攻防實(shí)戰(zhàn)中，用戶對(duì)專用的API檢測(cè)和防護(hù)設(shè)備的需求越來越明確。”盛邦安全API產(chǎn)品市場(chǎng)負(fù)責(zé)人說到，“正是因?yàn)榭吹绞袌?chǎng)端的需求變化，我們的研發(fā)團(tuán)隊(duì)開始深入研究如何讓API安全檢測(cè)更加精準(zhǔn)，讓API防護(hù)更加精確。”

五大核心技術(shù)能力，保障API應(yīng)用安全無虞

為了應(yīng)對(duì)不同環(huán)境下的各類安全需求，RayAPI逐漸形成了如下五個(gè)核心技術(shù)能力：

主被動(dòng)結(jié)合的API學(xué)習(xí)引擎

采用主動(dòng)探測(cè)與被動(dòng)流量分析相結(jié)合的API學(xué)習(xí)引擎，可以全面梳理用戶業(yè)務(wù)中存在的API資產(chǎn)，并結(jié)合流量特征進(jìn)行語義提取，識(shí)別API狀態(tài)、用途等屬性，從而實(shí)現(xiàn)標(biāo)簽化的畫像管理，自動(dòng)梳理出正常API、影子API與問題API等內(nèi)容；

啟發(fā)式攻擊檢測(cè)與防護(hù)引擎

采用特征檢測(cè)、語義分析與AI學(xué)習(xí)三合一的啟發(fā)式檢測(cè)引擎，通過已知的攻擊規(guī)則與行為特征簡(jiǎn)化判斷邏輯，并對(duì)引擎持續(xù)訓(xùn)練，提升針對(duì)未知風(fēng)險(xiǎn)的發(fā)現(xiàn)能力，從而對(duì)API相關(guān)的注入攻擊、命令攻擊、異常訪問和非法內(nèi)容進(jìn)行防護(hù)處置；

基于人機(jī)識(shí)別的API訪問控制

產(chǎn)品基于流量變化和行為特點(diǎn)等角度進(jìn)行建模分析，梳理API訪問的基線并進(jìn)行動(dòng)態(tài)跟蹤，對(duì)未授權(quán)訪問、未知請(qǐng)求、非法調(diào)用和異常高頻請(qǐng)求等行為進(jìn)行識(shí)別判斷，并利用反向校驗(yàn)、訪問限制和白名單等方式進(jìn)行訪問控制；

面向業(yè)務(wù)的API數(shù)據(jù)調(diào)用管控

產(chǎn)品采用全面的檢查點(diǎn)和豐富的數(shù)據(jù)處理模型，能夠結(jié)合業(yè)務(wù)特點(diǎn)來對(duì)組織敏感數(shù)據(jù)、個(gè)人隱私信息、業(yè)務(wù)關(guān)鍵信息和系統(tǒng)賬戶口令等數(shù)據(jù)進(jìn)行精準(zhǔn)識(shí)別、統(tǒng)計(jì)和分類梳理，并結(jié)合擦除、替換和訪問限制等手段來達(dá)到脫敏保護(hù)等目的；

面向API全生命周期的態(tài)勢(shì)監(jiān)控

基于時(shí)間、空間、業(yè)務(wù)屬性和數(shù)據(jù)類型等多種維度對(duì)API資產(chǎn)進(jìn)行監(jiān)控，對(duì)API上線狀態(tài)、運(yùn)行狀況、調(diào)用可靠性、數(shù)據(jù)合法性以及威脅態(tài)勢(shì)進(jìn)行綜合研判，實(shí)現(xiàn)API資產(chǎn)的細(xì)粒度審計(jì)和可視化分析。

IDC報(bào)告顯示，從市場(chǎng)發(fā)展角度來看，API安全防護(hù)市場(chǎng)在中國還處于初步發(fā)展階段，但未來隨著攻擊形勢(shì)的不斷變化和API應(yīng)用的不斷增多，API安全將成為一個(gè)重要的安全子市場(chǎng)得到快速發(fā)展。