數字化轉型已深入各行各業，伴隨著資料流動、使用場景大幅增加，API作為連線資料和應用的重要通道，在各類數字業務中廣泛應用，API介面數量與日俱增，但由此而衍生的安全風險也更為嚴峻，近年來，針對API攻擊已成為主要的非法資料獲取手段，是影響資料安全和個人資訊保護的重要風險來源，加強API安全管理，亟需各單位組織重點關注。

API資料安全問題越來越嚴峻

SaltSecurity《State of API Security Report, Q32021》報告顯示，2021年上半年，整體API流量增長了141%，API攻擊流量則增長了348%，針對API的攻擊流量正在以普通API流量的3倍速度增長。

據Gartner研報預測，到2022年API濫用將是最常見的攻擊方式；到2024年，API安全隱患導致的相關資料洩露將近乎翻倍。

政企單位落地建設API安全卻依然存在不少挑戰：

現有API資產不清，版本迭代過程中的歷史API缺乏跟蹤，如何進行API資產統一管理?
API資產面臨各種風險，如何有效識別和防護？
如何識別API訪問中的敏感資料並進行過濾和攔截?
如何有效管理API的訪問行為，識別異常的訪問行為?
資料洩露後，如何自證清白？如何追溯資料從哪個系統被誰洩露的?

美創API安全監測與訪問控制系統

美創API安全監測與訪問控制系統是為解決應用 API介面訪問場景下的安全問題推出的一款 Web應用側資料安全產品。系統基於API資產治理、身份治理、流量管控、訪問鑑權、機器學習等多種核心技術，幫助使用者 梳理龐雜的應用及介面，繪製介面畫像和介面訪問軌跡，監測敏感資料流動風險，識別介面呼叫的異常使用者行為 ，為應用系統的業務資料合規正常使用和流轉提供資料安全保障。

API安全監測與訪問控制系統核心能力：

資產識別

透過對流量進行智慧分析，配合機器學習引擎識別並過濾靜態資源以及html響應中的資源，自動發現流量中的API介面，實現API介面自動識別和分組管理。

API資產畫像

基於全量分析技術精準構建API資產畫像，快速統計各個業務的API情況，包括資產的請求數、訪問日曆、Web站點統計、API列表統計、發現時間、活躍時間等。

身份梳理

基於http/https網路、資料庫通訊協議解析和流量分析，從人、應用、賬號、終端四個維度自動發現網路中的身份，並對發現的身份資訊進行管理。

風險監測

系統利用各種檢測與分析引擎，從資產脆弱性、資產暴露面、賬戶共用、異常訪問等維度，檢測API介面資產風險，並對風險進行實時告警處置。

訪問控制

基於資產、身份、行為許可權矩陣，採用主動防禦機制，實現應用資料的訪問行為控制、危險操作阻斷、可疑行為審計。根據預定義的禁止和許可策略讓合法的操作行為通行，而對非法違規操作進行攔截阻斷，實現應用/API請求的危險操作行為的主動預防、實時審計。

產品能為各行業提供的安全價值

資產全面掌握

智慧自動化實時發現、識別網路中的資產資訊，內嵌敏感資料識別智慧演算法， 快速識別介面和應用中流轉的敏感資料，方便企業及時進行合規檢查和整改。

資料流動全瞭解

透過對資料流量的監控及分析記錄，並以敏感資料與正常資料為維度，對資料的流轉趨勢進行分析並記錄，以資料流的展現形式，將整個資料流轉的情況記錄在系統中， 透過大屏進行資料流動態勢展示，從而實現一眼能夠掌控資料全部流動情況。

資料流動風險全可控

配合風險預測結果，提供審計、脫敏、訪問控制等管控手段，做到風險檢測、風險告警、風險響應的 全流程安全管理機制，達成資料安全智慧管控的“視覺化”、“可量化”、“可感知”、“可管控”、“可追溯”。

資料流動過程全可審

支援應用程式 對敏感資料呼叫及輸出以及業務操作行為的記錄，滿足法規和監管機構對日誌記錄要求。

美創科技全新發布API安全監測與訪問控制系統

相關文章