文章图片
（永安在线COO 邵付东）
随着企业在整个研发过程中越来越强调敏捷开发和（CI/CD）集成部署 ， 导致整个业务研发节奏加快 ， 很多企业对API的管控处于失控状态 ， 出现了接口未知、攻击未知、阻断未知的挑战 。
邵付东表示 ， 在面对业务快速发展 ， API快速更迭 ， 攻击流量隐藏在正常的业务流量当中并且更多利用API业务逻辑漏洞进行攻击的现状 ， 市面现有通过WAF和API网关来进行API安全管理的方式存在明显不足 。 例如不是所有的API流量都会经过WAF ， 尤其是东西向流量 ， 并且它根据每条流量及时做出判断 ， 无法解决API逻辑攻击；另外 ， 不是所有的API都会到网关注册 ， 业务会存在大量影子API ， 而且授权和限频等方法无法解决黑产利用海量小号、秒拨代理IP进行的低频攻击 。 从而导致大量的误判、漏判 。 接口未知、攻击未知、阻断未知的状态无法很好解决 。
API安全管理的更优解：永安在线API安全管控平台
对此 ， 永安在线推出了新一代API安全管控平台 ， 以情报建立API安全基线 ， 通过旁路镜像的方式提供API资产梳理、敏感数据管理、API风险感知、API安全缺陷评估等多方面能力 。 帮助企业构建可预防、可解释、可溯源的API安全管理体系 ， 让企业能够有效实现对API资产的全面盘点、防止敏感数据暴露、预防发现阻断API遭受攻击、提升风险事件的响应速度以及数据合规自查 。

文章图片

1、以精准情报建立API安全基线 ， 提高攻防对抗主动权
通过精准情报为业务建立API安全基线 。 误判率低 ， 可用性高 ， 风险发现准确达95% ， 可及时全面感知企业外部API风险 ， 尤其是隐匿在正常业务流量中的黑产攻击 。
2、全面梳理API资产 ， 快速定位攻击点和薄弱点
自动化实时发现企业内部、外部和第三方API ， 包括未知（影子）API和失活（僵尸）API ， 提供完整的实时更新的API清单 。
3、敏感数据的流动管理 ， 实现数据合规自查
依据《金融数据安全数据安全分级指南》将敏感数据类型分级管理 ， 支持40多种敏感数据的查询 ， 清晰掌握自身敏感数据的流动情况 。
“我们的产品优势在于通过情报能力可以准确描绘出业务风险全景图 ， 站在外部的视角从海量业务流量中过滤出可疑流量 ， 避免了利用规则和频次无法识别的隐藏在合法业务请求中的风险；另一方面情报还能对识别出的风险能给出具体的攻击团伙以及攻击者的攻击方法 ， 这样不仅保障了识别风险的准确度 ， 也让风控变得具备可解释性 ， 也为下一步的打击追责提供有利支撑”邵付东在介绍技术路径选择时表示 。