文章图片
(乐信集团信息安全中心总监 刘志诚)
API因承载数据和业务逻辑 , 已成为了新的攻防面
API因承载数据和业务逻辑 , 成为了新的攻防面 , 并且攻击能够隐藏在符合逻辑的合法访问请求中 , 目前常用的安全工具能否解决这些API安全管理问题?更有效的技术路径又是哪些?永安在线COO邵付东以《API安全管理的更优解:以情报建立API安全基线》为主题对这些问题进行了分析和分享 , 并发布以永安在线核心技术优势——行业领先的【情报】打造的产品:API安全管控平台 。
文章图片
(永安在线COO 邵付东)
随着企业在整个研发过程中越来越强调敏捷开发和(CI/CD)集成部署 , 导致整个业务研发节奏加快 , 很多企业对API的管控处于失控状态 , 出现了接口未知、攻击未知、阻断未知的挑战 。
邵付东表示 , 在面对业务快速发展 , API快速更迭 , 攻击流量隐藏在正常的业务流量当中并且更多利用API业务逻辑漏洞进行攻击的现状 , 市面现有通过WAF和API网关来进行API安全管理的方式存在明显不足 。 例如不是所有的API流量都会经过WAF , 尤其是东西向流量 , 并且它根据每条流量及时做出判断 , 无法解决API逻辑攻击;另外 , 不是所有的API都会到网关注册 , 业务会存在大量影子API , 而且授权和限频等方法无法解决黑产利用海量小号、秒拨代理IP进行的低频攻击 。 从而导致大量的误判、漏判 。 接口未知、攻击未知、阻断未知的状态无法很好解决 。
API安全管理的更优解:永安在线API安全管控平台
对此 , 永安在线推出了新一代API安全管控平台 , 以情报建立API安全基线 , 通过旁路镜像的方式提供API资产梳理、敏感数据管理、API风险感知、API安全缺陷评估等多方面能力 。 帮助企业构建可预防、可解释、可溯源的API安全管理体系 , 让企业能够有效实现对API资产的全面盘点、防止敏感数据暴露、预防发现阻断API遭受攻击、提升风险事件的响应速度以及数据合规自查 。
文章图片
1、以精准情报建立API安全基线 , 提高攻防对抗主动权
通过精准情报为业务建立API安全基线 。 误判率低 , 可用性高 , 风险发现准确达95% , 可及时全面感知企业外部API风险 , 尤其是隐匿在正常业务流量中的黑产攻击 。
2、全面梳理API资产 , 快速定位攻击点和薄弱点
自动化实时发现企业内部、外部和第三方API , 包括未知(影子)API和失活(僵尸)API , 提供完整的实时更新的API清单 。
推荐阅读
- 养殖|科创信达冠名!第二届智慧养殖高峰论坛帷幕:推动畜牧行业新升级
- 端口|俄语黑客论坛出售全新私人定制勒索病毒——BlackCat
- 电磁场|首届全国颠覆性技术创新大赛领域赛(青岛)举办
- 银行|聚焦“财富管理”首届中信银行APP节全程直播
- 商报讯|第七届京台科技论坛建筑专题论坛在京举办
- 数据|亚太智慧城市发展论坛举行,智慧城市成迎接数字时代重要抓手
- 有色金属|探寻新材料产业新技术、新理念、新思路,这场论坛信息量满满!
- 大会|首届世界数字化转型大会明春举办
- 开新|引风向 开新局 建生态 PKS2021生态大会安全先进绿色计算+数字健康论坛召开
- Minute|首届Minute国际短片节颁奖典礼星光璀璨,十部短片佳作脱颖而出