盛邦安全入選IDC TechScape中國資料安全發展路線圖推薦廠商，為API安全治理提供新思路

近日，IDC 2022 CSO全球網路安全峰會（中國站）在上海隆重開幕，會上首次釋出《IDC TechScape：中國資料安全發展路線圖，2022》（以下簡稱：TechScape 路線圖 2022）。盛邦安全入選TechScape 路線圖變革型技術曲線“API安全”技術推薦廠商，這是對盛邦安全在API安全技術領域持續創新與積累的重要認可。

TechScape 路線圖旨在幫助使用者構建全方位資料安全治理體系，賦能使用者實現資料安全治理目標。本次釋出的TechScape 路線圖 2022 選取了18個新興及重要的資料安全技術進行分析，根據技術的市場影響以及各技術的發展階段，將其分為變革型技術、主導型技術以及機會型技術三大類別。透過對每個資料安全領域單項技術的部署情況、風險程度、市場熱度等內容進行細緻的研究，針對每項技術給出三個推薦廠商，從而為終端使用者在產品選型時提供技術參考。

API 安全防護成為企業安全體系的重要組成部分

TechScape 路線圖2022報告顯示，應用程式規模正在快速增長，API透過整合應用軟體的模式來更好地連線應用程式，已經成為了應用程式連線、創新的基礎，給技術服務提供商和使用者帶來更多便利。然而，API也開始被眾多攻擊者所關注，非授權訪問、資料篡改與竊取、分散式拒絕服務、 SQL 注入等成為了攻擊者運用 API 進行攻擊的常用手段。

由於API 的多樣性、複雜性，一個應用程式可能會連線多個不同語言體系的 API，這無疑給終端使用者的 API 安全防護造成了很大困擾，許多使用者在攻擊事件發生後才意識到 API 風險。然而，由於企業廣泛存在 API 資產梳理不全面、不準確、開發過程中的 API 測試能力較弱、安全配置錯誤、身份認證與許可權管控失誤、加密失敗、執行過程中持續的檢測監測難、API 安全意識薄弱等問題，API防護面臨諸多的困境。

盛邦安全API產品市場負責人認為，傳統的依賴API閘道器與WAF、IPS等防護裝置聯動配合的方式，逐漸暴露出漏防、漏報、方案整合複雜程度高且針對性不足等缺點，越來越多的使用者需要部署專用的API檢測和防護裝置，以實現API的全生命週期安全管理和控制。而IDC 定義下的 API 安全，是一類幫助使用者緩解和保護 API 相關安全風險的解決方案，也是網路安全技術應用的重要領域。

盛邦安全RayAPI 保護API安全無虞

盛邦安全基於自身在網路資產治理與應用安全領域的技術積累，推出了集API資產梳理與加固保護於一體的安全防護型產品——API安全防護系統（RayAPI），可以在API學習畫像的基礎上，對其進行許可權加固、攻擊防護、資料保護和綜合審計，提供全面的管控手段。

為了應對不同環境下的各類安全需求，RayAPI逐漸形成了如下五個核心技術能力：

l  主被動結合的API學習引擎：採用主動探測與被動流量分析相結合的API學習引擎，可以全面梳理使用者業務中存在的API資產，並結合流量特徵進行語義提取，識別API狀態、用途等屬性，從而實現標籤化的畫像管理，自動梳理出正常API、影子API與問題API等內容；

l  啟發式攻擊檢測與防護引擎：採用特徵檢測、語義分析與AI學習三合一的啟發式檢測引擎，透過對已知的攻擊規則與行為特徵簡化判斷邏輯，並對引擎持續訓練，提升針對未知風險的發現能力，從而對API相關的注入攻擊、命令攻擊、異常訪問和非法內容進行防護處置；

l  基於人機識別的API訪問控制：產品基於流量變化和行為特點等角度進行建模分析，梳理API訪問的基線並進行動態跟蹤，對未授權訪問、未知請求、非法呼叫和異常高頻請求等行為進行識別判斷，並利用反向校驗、訪問限制和白名單等方式進行訪問控制；

l  面向業務的API資料呼叫管控：產品採用全面的檢查點和豐富的資料處理模型，能夠結合業務特點來對組織敏感資料、個人隱私資訊、業務關鍵資訊和系統賬戶口令等資料進行精準識別、統計和分類梳理，並結合擦除、替換和訪問限制等手段來達到脫敏保護等目的；

l  面向API生命週期的態勢監控：基於時間、空間、業務屬性和資料型別等多種維度對API資產進行監控，對API上線狀態、執行狀況、呼叫可靠性、資料合法性以及威脅態勢進行綜合研判，實現API資產的細粒度審計和視覺化分析。

基於領先的 API 防護技術與豐富的行業實踐，盛邦安全將持續最佳化RayAPI，幫助使用者更好地對抗API攻擊，保護API安全無虞。