2023 年 8 月 25 日,中国信息通信研究院(以下简称“中国信通院”)、中国通信标准化协会联结主办的“2023 首届 SecGo 云和软件平安大会”在北京胜利举办。作为本次大会的重点之一,可信平安“API 平安能力成熟度”最新评估后果在会上正式公布。
API 平安能力成熟度评估:从 API 产品视角登程,重点关注运维阶段的 API 平安,提出资产治理、平安监测、平安防护、API 审计四大平安模块,共计 100 余项规范细则,并基于不同能力要求,分为根底级、加强级、先进级三大能力程度,帮忙厂商标准 API 产品安全。
为标准行业 API 平安能力,助力企业一直优化降级平安技术,中国信通院牵头制订了《利用程序接口全生命周期平安治理要求》规范,建设了笼罩 API 开发、测试、公布、运维、迭代、下线等全生命周期的业务交互接口能力要求。根据《利用程序接口全生命周期平安治理成熟度要求》,全知科技知影—API 危险监测零碎凭借着在 API 资产治理、API 平安监测、API 平安防护、API 审计中的优良体现,通过了中国信通院 API 平安能力评估,取得先进级评级。
随着数字技术的疾速倒退,API 曾经成为推动古代软件开发和数字化转型的关键因素。作为连贯不同应用程序和零碎的桥梁,API 也成为了攻击者重点光顾的指标,其安全漏洞随着调用量增多而暴露无遗。全面的 API 平安能力是企业应答数字化危险的必须利器。
知影 -API 危险监测零碎
全知科技独创的一款基于流量剖析和数据辨认技术的 API 危险监测零碎,通过采集整个应用程序环境中的 API 流量,实时发现最新最全的 API 数据,并跟踪和刻画 API 的历史行为和生命周期,帮忙企业把握所有 API 画像。
基于 API 画像和利用大数据引擎技术,自动化辨认 API 中可能存在的破绽和弱点,实时剖析、精准辨认 API 上存在的攻击行为,集成或联动第三方平安防护产品进行数据保护。通过 API 数据拜访行为留痕,帮忙企业进行数据泄露溯源,从而及时发现和应答安全事件。
产品性能
产品可能提供一整套 API 资产发现、分类分级、弱点评估、危险监测、威逼拦挡、审计溯源、集中管理等平安能力,实现互联网进口、生产网、办公网、测试网的全面笼罩,满足企业不同的管理模式需要。
01API 资产跟踪发现 :发现全量 API 资产,提供 API 类型、API 格局、API 级别、API 状态、数据裸露面梳理等全方位的 API 资产形容;通过继续的监测和剖析 API 交互,辨认 API 申请和返回内容中蕴含的敏感数据,并及时更新敏感数据裸露的细节。
02 重点 API 清单筛选 :联合 API 携带的数据和 API 分类分级算法,对 API 进行分类定级,依据利用零碎、数据标签组合、敏感等级、拜访域、等多种维度剖析、筛选,造成重点 API 清单,同时通过继续发现能力可能主动监测和跟踪 API 的变动。
03API 弱点全面评估 :产品集成 OWASP API 十大平安危险,并蕴含 50+ 项的弱点规定,笼罩数据裸露、数据权限、平安标准、高危接口、口令认证等规定维度;提供全面的洞察力,帮忙辨认和解决 API 中的潜在危险,提供修复倡议和措施。
04API 危险监测剖析 :基于 API 画像和上下文关联信息,从数据泄露、Web 攻打、账号平安三个维度对 API 流动进行实时监测和剖析,辨认异样行为和歹意行为;辨认记录失常数据拜访行为的各个属性,并建设 API 行为基准线,判断歹意流动。
05API 数据实时爱护 :集成多家 API 网关、WAF、SOC 平台等产品,依据危险监测后果主动阻止攻打,实现数据保护;通过零碎上的实时监测和旁路阻断性能,并联合弱小的内置威逼情报库(在线更新)立刻阻断危险行为,无效避免账号劫持、未经受权的数据拜访、数据批量拉取等。
06 事件审计溯源剖析 :针对 API 的异样危险事件,通过对敏感数据提取留痕,记录数据拜访行为,被动进行关联事件的相关性检索剖析,对数据行为进行精准审计回溯并将后果汇总,便于及时补漏平安缺口。
产品价值
1 理解实在攻击面:通过 API 全面辨认和平安评估技术,被动发现和辨认企业环境中存在的 API,包含公开的和潜在的 API,帮忙全面理解实在攻击面,并实现无效的攻击面治理。
2API 高级危险监测:重视发现和修复与业务逻辑相干的安全漏洞,晋升对业务逻辑危险的辨认和防备能力,有助于建设一个更加安全可靠的 API 生态系统,在防备新型平安危险的同时,无效爱护企业实在资产平安。
3 浸透测试效率晋升:与浸透测试人员单干,针对重点关注利用零碎中的要害 API 进行重点测试;联合知影产品的检测后果,模仿实在的攻打场景,发现 API 零碎中存在的潜在平安问题。
4 透露溯源与攻打取证:在笼罩 API、利用、数据的审计日志的同时,提供对立溯源的能力,不仅提供单条信息的拜访门路还原,还能够通过批量溯源进行集中度剖析,帮忙企业在产生危险事件后可能进行回溯,还原危险门路、评估影响面。
5API 平安态势掌控:内置大数据引擎及丰盛的检测规定,能无效辨认 API 攻击行为、数据窃取行为,并记录攻击者行为,对前期进一步取证溯源提供强有力的证据。同时也能实在反映平安现状,为后续进行平安建设提供思路,帮忙企业把握 API 平安威逼态势,进行科学管理决策。
知影 -API 危险监测零碎是全知科技自主研发的拳头产品,也是国内推出的首个 API 平安产品。技术创新驱动产品力晋升,在全新降级的 3.0 版本中,知影 -API 危险监测零碎实现了 18 项破绽规定扩大、200% 的解决性能晋升、10 大模块化受权等性能迭代,具备更精准的危险辨认、更多元的账号解析以及更硬核的产品性能。
在中国信通院《利用程序接口全生命周期平安治理成熟度要求》所要求的资产治理、平安监测、平安防护、API 审计四大平安模块中,知影 -API 危险监测零碎均达到了先进级能力要求(最高阶别);值得一提的是,凭借着 API 危险监测零碎成熟的市场利用和当先的产品力,全知科技入选了 Gartner《2023 中国智慧城市与可继续倒退技术成熟度曲线报告》,被列为“跨省通办”畛域的中国举荐供应商代表之一。
截至目前,知影 - API 危险监测零碎已服务全国多家国有行、城商行、股份制银行等,在金融银行畛域领有超高市场占有率;除此之外,知影 - API 危险监测零碎也在政府、运营商、医疗等各行各业胜利落地利用,为各行业的数字化倒退提速提供要害驱动力。