自新冠疫情爆發(fā)以來，全球范圍內(nèi)的組織在數(shù)字化轉(zhuǎn)型上的步伐呈現(xiàn)明顯加速趨勢。谷歌發(fā)布的《2021 API 經(jīng)濟報告》中指出，在2020年，近四分之三的組織繼續(xù)在數(shù)字化轉(zhuǎn)型上投資，其中，三分之二的組織加大投資或作出戰(zhàn)略調(diào)整，實行數(shù)字優(yōu)先戰(zhàn)略。

數(shù)字化轉(zhuǎn)型的核心是將組織的服務(wù)、資產(chǎn)和能力打包成互聯(lián)網(wǎng)服務(wù)，從而讓資源之間形成更強的連接和互動關(guān)系，釋放原有資產(chǎn)的價值，提升組織的服務(wù)能力，這其中，API是非常關(guān)鍵的技術(shù)。

隨著數(shù)字化進程的發(fā)展，組織正在大量使用API。越來越多的APP被開發(fā)出來，開放架構(gòu)在創(chuàng)新場景中的使用也越來越多。有數(shù)據(jù)統(tǒng)計，整個Web網(wǎng)站有83%的流量是通過API來訪問的。也有數(shù)據(jù)顯示，44%企業(yè)正在建造和維護100個或更多的API，API流量正在快速增長。

API在帶來巨大便利的同時也帶來了新的安全問題， 很多企業(yè)甚至自己的不知道有多少API被開放，是否受控使用和有效使用，有怎樣的安全風(fēng)險和隱患，就更不得而知。API安全正受到業(yè)界和學(xué)術(shù)界的廣泛關(guān)注，開放Web應(yīng)用程序安全項目（OWASP）在2019年將API列為最受關(guān)注的十大安全問題。2020年，中國人民銀行發(fā)布了《商業(yè)銀行應(yīng)用程序接口安全管理規(guī)范》，三大運營商也相繼發(fā)布了API安全管理規(guī)范。

API安全造成的影響越來越大，而傳統(tǒng)API安全網(wǎng)關(guān)的部署與維護成本高，無法有效防護新興安全威脅。在此背景下，瑞數(shù)信息創(chuàng)新地推出了API安全管控平臺——API BotDefender，致力于解決API面臨的各種安全風(fēng)險與挑戰(zhàn)，實現(xiàn)API的資產(chǎn)管理、攻擊防護、敏感數(shù)據(jù)管控和訪問行為管控，為業(yè)務(wù)創(chuàng)新保駕護航。

API安全的常見解決方案

許多企業(yè)都會參照OWASP十大項目做安全防護，但2019年OWASP發(fā)布的API安全十大項目發(fā)布的時間較短，許多企業(yè)還沒能及時作出相應(yīng)防護。由于API安全涉及的范圍比較廣，一些常見的安全問題并沒有被列入其中，即使是對應(yīng)API安全十大項目作出防護仍會有一些不足。

API安全市場也處于相對早期階段，從目前的API安全市場來看，主要有兩類API安全解決方案:

第一種，API安全網(wǎng)關(guān)方案。

API技術(shù)的興起伴隨著技術(shù)架構(gòu)上的變化，由于Http協(xié)議的問題造成了很大安全隱患。為了保障安全，需要開發(fā)者在開發(fā)階段針對API加入鑒權(quán)、認證以及防篡改方面的安全工作。同時，需要API網(wǎng)關(guān)之類的安全防護產(chǎn)品作出相應(yīng)配置。

2015年前后，市場上出現(xiàn)了以獨立的API網(wǎng)關(guān)為主的API安全解決方案，但在實際應(yīng)用中發(fā)現(xiàn)，這種方案落地困難且成本較高，企業(yè)更傾向于使用應(yīng)用開發(fā)者自建的API網(wǎng)關(guān)，專業(yè)的基于API網(wǎng)關(guān)的API安全方案沒有獲得預(yù)想的成功，于是API網(wǎng)關(guān)的產(chǎn)品形態(tài)還在繼續(xù)演進。

在Gartner最新的WAF魔力象限中，提到了Web應(yīng)用程序和API防護服務(wù)相結(jié)合的最新趨勢——WAAP，這是一種集合了DDoS、Bot緩解，API防護和WAF的安全防護平臺。Gartner有意將WAF與API防護能力結(jié)合起來，使得許多WAF廠商開始在WAF里集成API網(wǎng)關(guān)。

作為安全產(chǎn)品形態(tài)上的一種自然而然的演化，它的主要問題在于缺少數(shù)據(jù)分析和管理的能力。

第二種，基于數(shù)據(jù)分析的API安全方案。

通過AI技術(shù)對API的訪問行為進行分析，發(fā)現(xiàn)API的各種異常訪問行為，提供API的管理。與API安全網(wǎng)關(guān)方案相比，此方案缺少的是安全威脅防控能力。

瑞數(shù)信息的應(yīng)對之道——瑞數(shù)API安全管控平臺（API BotDefender）

瑞數(shù)信息于2019年就推出具有API感知、發(fā)現(xiàn)、監(jiān)控、保護能力的API安全解決方案，今年更將此能力聚焦于API安全管控的4大核心功能，形成——瑞數(shù)API安全管控平臺(API BotDefender)，該平臺包括API資產(chǎn)管理、攻擊防護、敏感數(shù)據(jù)管控和訪問行為管控四大模塊，為API接口提供完整的安全管控方案。作為國內(nèi)最早推出API安全管控解決方案之一的廠商，它充分體現(xiàn)了瑞數(shù)信息對于市場的觀察和理解：

瑞數(shù)信息API安全管控平臺，主要面向新興的API安全風(fēng)險，彌補了傳統(tǒng)方案中的不足。技術(shù)路線上，沒有選擇傳統(tǒng)的API網(wǎng)關(guān)技術(shù)，而是將WAF的安全管控能力與數(shù)據(jù)安全分析能力進行結(jié)合，是一種結(jié)合了以上兩種API安全方案優(yōu)勢的全新方案。

資產(chǎn)管理模塊

通過引入API資產(chǎn)管理，實現(xiàn)對API資產(chǎn)的統(tǒng)一管理。API資產(chǎn)管理基于數(shù)據(jù)建模自動發(fā)現(xiàn)被保護站點的API資產(chǎn)，對API資產(chǎn)進行梳理、分析和上下線，幫助客戶實現(xiàn)API資產(chǎn)的生命周期管理。

攻擊防護模塊

綜合利用智能規(guī)則匹配及行為分析的智能威脅檢測引擎，持續(xù)監(jiān)控并分析流量行為，有效檢測威脅攻 擊。智能威脅檢測引擎在用戶與應(yīng)用程序交互的過程中收集數(shù)據(jù)，并利用統(tǒng)計模型來確定HTTP請求的異常。一旦確定異常情況，智能引擎就會使用機器學(xué)習(xí)獲得的多種威脅模型來確定異常攻擊。

敏感數(shù)據(jù)管控模塊

對API傳輸中的敏感數(shù)據(jù)進行識別，針對敏感數(shù)據(jù)可以進行脫敏或者實時攔截，防止敏感數(shù)據(jù)泄露。

訪問行為管控模塊

對API接口的訪問行為進行分析，通過多維度建立API訪問基線、API威脅建模，發(fā)現(xiàn)惡意訪問行為，避免惡意 訪問造成的業(yè)務(wù)損失。

主要應(yīng)用場景

API資產(chǎn)自動發(fā)現(xiàn)

API安全管控平臺通過對訪問流量進行分析，自動發(fā)現(xiàn)流量中的API接口，實現(xiàn)API接口自動識別、梳理和分組。

API攻擊防護

識別各種針對API的安全攻擊，對安全攻擊進行實時防護；對API請求參數(shù)進行合規(guī)管控，對不符合規(guī)范的請求參數(shù)實時管控。

API流量監(jiān)控與保護

監(jiān)控API的訪問行為，針對高頻情況等進行防護，防止高頻情況等造成的API性能瓶頸。

非法API調(diào)用防護

通過從API網(wǎng)關(guān)上獲取API認證和鑒權(quán)數(shù)據(jù)，防止未授權(quán)的API調(diào)用，保障API接口只能被合法用 戶訪問。

API濫用防護

針對API接口，防止其被濫用并用于謀取利益。

API資產(chǎn)生命周期管理

對發(fā)現(xiàn)的API接口進行生命周期管理，基于關(guān)鍵字搜索功能快速分組，并且對分組后的 API資產(chǎn)指定責(zé)任人，實現(xiàn)API資產(chǎn)的導(dǎo)入和導(dǎo)出、資產(chǎn)上下線。

API敏感數(shù)據(jù)管控

對API傳輸中的敏感數(shù)據(jù)進行識別，針對敏感數(shù)據(jù)可以進行模糊化或者實時攔截，防止敏感數(shù)據(jù)泄露。

未知API發(fā)現(xiàn)

通過從API網(wǎng)關(guān)上獲取API注冊數(shù)據(jù)，與API資產(chǎn)進行對比，發(fā)現(xiàn)未知API接口，防止未知API 訪問造成的業(yè)務(wù)訪問壓力，導(dǎo)致業(yè)務(wù)不可用。

API訪問行為管控

監(jiān)控API接口的訪問和使用狀況，包括成功率、性能等，通過建立多維度訪問基線和API威脅建模，監(jiān)控基線偏離狀況，高效識別異常訪問行為，避免惡意訪問造成的業(yè)務(wù)損失。

核心優(yōu)勢

瑞數(shù)API安全管控平臺(API BotDefender)，能夠?qū)崿F(xiàn)從API接入客戶端到API服務(wù)器端的全程式API安全威脅防護。

API全自動發(fā)現(xiàn)

瑞數(shù)API安全管控平臺(API BotDefender)的“Discover發(fā)現(xiàn)模塊”，可以快速自動地發(fā)現(xiàn)API，并且針對發(fā)現(xiàn)的API給出明確的認定;同時，顯示出清晰的API列表，對API接口的訪問情況一目了然。

構(gòu)建API畫像

瑞數(shù)API安全管控平臺 (API BotDefender)，采用全程式安全威脅防護技術(shù)，從而利于精準地構(gòu)建API畫像；通過API畫像，可以快速預(yù)覽各個業(yè)務(wù)的API情況，包括使用情況、異常情況、訪問來源等。

API全渠道感知

提供各種SDK，方便與各類API來源應(yīng)用進行集成，可以對來源環(huán)境和用戶行為進行感知。

動態(tài)響應(yīng)防護

可根據(jù)行為分析的結(jié)果或指定條件，進行動態(tài)響應(yīng)防護，提升通過逆向探測或機器學(xué)習(xí)分析等攻擊手段的難度。

此外，瑞數(shù)API安全管控平臺的部署方式非常靈活，支持軟件、硬件和云的方式進行部署，可以大大降低部署、管理和維護成本。同時，占用資源少，不影響服務(wù)器的正常運行，可以實現(xiàn)應(yīng)用無感知部署。

目前，API安全問題在金融、政府、運營商三大行業(yè)獲得了廣泛的關(guān)注，瑞數(shù)API安全管控平臺也憑借其突出的技術(shù)實力和防護能力，在該三大行業(yè)成功應(yīng)用，全面助力用戶解決API安全層面的各類問題，為業(yè)務(wù)的創(chuàng)新和穩(wěn)定進行保駕護航！