《2022中國網路安全十大創新方向》報告發布,盛邦安全入選API安全和攻擊面管理領域典型廠商

盛邦安全發表於2022-10-19

近日,數說安全釋出《2022年中國網路安全十大創新方向》報告,針對每個創新方向進行技術解讀、核心能力、關鍵挑戰、應用場景和典型廠商的分析,旨在推動行業技術創新、產品創新與應用創新。盛邦安全入選API安全防護攻擊面管理兩大創新領域典型廠商。


以下部分內容來源於數說安全


圖片

圖片

圖片


RayAPI ,保護API安全無虞


基於自身在網路資產治理與應用安全領域的技術積累,盛邦安全推出了集API資產梳理與加固保護於一體的安全防護型產品——API安全防護系統(RayAPI),在API學習畫像的基礎上,對其進行許可權加固、攻擊防護、資料保護和綜合審計,提供全面的管控手段。


RayAPI的五個核心技術能力:


主被動結合的API學習引擎

採用主動學習與被動流量分析相結合的API學習引擎,可以全面梳理使用者業務中存在的API資產,並結合流量特徵進行語義提取,識別API狀態、用途等屬性,從而實現標籤化的畫像管理,自動梳理出正常API、影子API與問題API等內容;


啟發式攻擊檢測與防護引擎

採用特徵檢測、語義分析與AI學習三合一的啟發式檢測引擎,透過對已知的攻擊規則與行為特徵簡化判斷邏輯,並對引擎持續訓練,提升針對未知風險的發現能力,從而對API相關的注入攻擊、命令攻擊、異常訪問和非法內容進行防護處置;


基於人機識別的API訪問控制

產品基於流量變化和行為特點等角度進行建模分析,梳理API訪問的基線並進行動態跟蹤,對未授權訪問、未知請求、非法呼叫和異常高頻請求等行為進行識別判斷,並利用反向校驗、訪問限制和白名單等方式進行訪問控制;


面向業務的API資料呼叫管控

產品採用全面的檢查點和豐富的資料處理模型,能夠結合業務特點來對組織敏感資料、個人隱私資訊、業務關鍵資訊和系統賬戶口令等資料進行精準識別、統計和分類梳理,並結合擦除、替換和訪問限制等手段來達到脫敏保護等目的;


面向API生命週期的態勢監控

基於時間、空間、業務屬性和資料型別等多種維度對API資產進行監控,對API上線狀態、執行狀況、呼叫可靠性、資料合法性以及威脅態勢進行綜合研判,實現API資產的細粒度審計和視覺化分析。


基於創新的API 防護技術與豐富的行業實踐,盛邦安全將持續最佳化RayAPI,幫助使用者更好地對抗API攻擊,保護API安全無虞。


基於組織架構的攻擊面管理方案


防守之所以困難,主要原因在於攻防雙方的不對等。對於攻擊者來說,可以採取漏洞利用、口令爆破、後門等各種攻擊手段,只要找到一個突破口就可以達到目的;而對於防守方來說卻要做到面面俱到,但往往因為暴露面不清、風險不明、人員不足等問題疲於應對。因此,在無法做到不計成本的投入的情況下,做好攻擊面管理、找到防守的關鍵點不失為一種更為明智的做法。


圖片


資產暴露面類別複雜、體量劇增?


隨著雲端計算、物聯網等技術的廣泛應用和遠端辦公的常態化,各種應用程式激增,企業資產也變得更加複雜而分散,越來越多的影子資產和不受監控的IT資產成為安全防守的盲區。


主被動結合的暴露面探測來支招


我們需要以攻擊者視角監測網路空間資產的脆弱性,分析可能被攻擊者利用的風險點,並制訂對應的防守策略,從業務屬性、社會屬性等維度維護資產的安全性和有效性。


攻擊行為向綜合型、立體式發展?


當下,攻擊行為朝著基於資產暴露面的通用漏洞、事件型0day、移動端應用/APK攻擊、API攻擊、文件和檔案洩露、企業敏感資訊洩露、勒索軟體攻擊、電子憑證攻擊、供應鏈攻擊、社工庫攻擊等為一體的綜合型、立體式攻擊模式發展。


以自動化攻擊模擬技術檢驗防禦的有效性


在實戰攻防場景下,我們需要以自動化技術和攻擊模擬技術,從攻擊者視角持續不斷地檢驗現有安全機制的有效性,從而應對愈演愈烈的綜合型、立體式網路攻擊。


被動安全防禦越來越無力?


傳統的被動式網路安全防禦方式是在攻擊者已開始嘗試攻擊的“事中”或者已攻擊成功的“事後”而進行的防禦行為,平均檢測和響應時間等關鍵指標通常較差且補救成本很高。


變被動為主動,多種安全能力協同發力


從攻擊者的角度,在“事前”採取主動防禦的手段,針對自身薄弱點進行攻擊預判和提前處置,協同聯動各種安全能力,提高安全事件響應速度,將隱患消滅於萌芽之中。


基於組織架構的攻擊面管理方案要點



  • 基於企業屬性梳理包括組織的IT資產、服務、應用、業務系統的整個暴露面;

  • 分析組織整個IT資產資訊系統暴露面,並將其與組織架構進行關聯;

  • 將所有資訊資產與組織的漏洞情報進行關聯;

  • 發現企業內部網路資產、業務資料、產品程式碼、敏感資訊及隱私洩露的具體情況;

  • 基於資產治理“五步法”對攻擊面進行收斂,如資產風險評估、漏洞整改、違規外聯整治等。



不久前,盛邦安全入選了《IDC TechScape:中國資料安全發展路線圖,2022》報告並被評為“API安全”技術領域推薦廠商。此次入選數說安全《2022中國網路安全十大創新方向》報告,是對盛邦安全在API安全和攻擊面管理技術領域持續創新的再次認可。未來,盛邦安全將繼續發揮自身技術優勢,為廣大使用者提供更多滿足攻防實戰場景下的安全防護需求的產品、解決方案和服務。


原文連結

相關文章