在“万物皆可API”的时代,通过API快速构建产品和服务、迅速响应客户需求已是数字化企业的必备技能。但同时,API承载着越来越复杂的应用程序逻辑和越来越多敏感数据的特征,也使得API成为黑客攻击的重点目标,导致数据泄露事件频发。
API管控不当导致数据泄露事件频发 企业API安全建设势在必行
ž 2023年1月,推特有2.35亿用户个人信息被泄露,其中包括用户的姓名、电子邮件地址、Twitter 手柄、粉丝数量和账户创建日期;
ž 美国通信巨头T-Mobile被黑客通过未经授权的API,非法获得3700万用户个人信息;
ž 法拉利、宝马、劳斯莱斯、保时捷等20家车企被爆出API安全漏洞,包括解锁、启动和跟踪汽车以及客户个人信息被泄露……
随着API安全造成的影响越来越大,API安全已受到了业界的广泛关注,开放Web应用程序安全项目(OWASP)在2019年就将API列为最受关注的十大安全问题。在今年,OWASP API TOP 10进一步更新了API安全风险,将“不受限访问敏感业务(Bot防护)、服务端请求伪造、API的不安全使用”列为新增的API安全风险。
这些风险很大程度来源于企业API管控不当,即企业不知道自身有多少API被开放,使用是否受控,有怎样的安全风险和隐患,从而使得API变成了企业网络安全薄弱的一环。
目前,我国《网络安全法》《个人信息保护法》《数据安全法》已正式施行,为各行业带来了更大力度的合规监管,这促使企业必须加强API安全建设,保障数据安全。
解决企业API管控乱象 瑞数信息推出全新API安全审计产品
瑞数API安全审计系统(API SecAudit),以API资产管理为重点、API安全审计为核心,帮助企业自动发现API资产、检测API安全攻击、识别API请求中的敏感数据、监测API运行状态、审计API访问行为、识别API应用缺陷,提供丰富的API安全审计报告。
API安全审计系统技术独特性如下:
l 资产发现
支持从Swagger文件、表格等导入API资产,也可以通过对API流量分析,自动发现流量中的网站、端口、API资产和敏感接口等,支持自定义API 接口规则,快速、精准地进行API资产发现、API接口样式提取并提供API接口可视化展示,支持API接口分类、分组并指派责任人,实现数据分权管理。
l 安全检测
支持对OWASP API Security Top10安全攻击的检测,从海量访问中快速发现和定位安全风险事件;通过AI技术实现API参数自学习和调用顺序自学习,满足合规检测要求,内置各种业务威胁模型,快速应对诸如爬虫、撞库等各类业务威胁。
l 行为检测
对API接口的请求、响应、参数和返回值等进行记录和分析,建立API访问基线,识别偏离基线和异常的访问行为,如:高频访问、内网应用访问互联网等;同时,自动识别Bot访问行为,对Bot类型进行分类,更有效地实现访问行为审计,从而及时发现和解决问题,保证API接口的正常访问。
l 数据合规
内置敏感数据检测引擎,覆盖姓名、手机号、身份证、银行卡、密码等上百种敏感数据类型,内置电信和金融行业数据分级,支持敏感数据自动分级,实时洞察API接口中双向传输的敏感数据、明文密码和弱密码等数据泄漏风险,对API接口传输的敏感数据进行记录、分析和审查,以保证敏感数据的安全传输。
l 统计分析
瑞数API安全审计系统内置丰富的API安全报表,底层还提供了大数据分析平台,无需二次开发,根据用户的个性化需求,快速生成报表,所见即所得。
l 联防联控
瑞数API安全审计系统提供了丰富的API接口,同时支持与kafka对接,实现与安全设备的联动,达到联防联控的目的。
助力中国API安全建设 瑞数API安全产品在多行业应用
瑞数信息作为国内首批具备“云原生API安全能力+WAAP能力”认证的专业厂商,连续多年入选Gartner、IDC等全球知名咨询机构评选的中国API领域代表厂商,充分展现了在API领域的强劲技术实力和市场表现。目前,瑞数API安全解决方案已广泛应用在金融、零售、医疗、政府、运营商等多个行业中。此次推出的瑞数API审计系统同样适用于各行业,尤其是有大量API应用,但防护手段单一、迫切需要API安全解决方案的企业。
作为国内最早推出API安全解决方案之一的厂商,瑞数信息于2019年就推出具有API感知、发现、监控、保护能力的API安全解决方案,并形成了瑞数API安全管控平台(API BotDefender),包括API资产管理、攻击防护、敏感数据管控和访问行为管控四大模块,为API接口提供完整的安全管控方案。如今,瑞数API审计系统正是瑞数API安全系列产品家族中的重要一员。
在API安全日益重要的今天,瑞数API安全审计系统的推出,能够更好地帮助企业应对未知威胁、发现API安全风险和缺陷,保证业务的正常高效运转。未来瑞数信息还将持续创新技术、产品和服务,进一步提升API安全能力,为企业有效抵御新兴威胁、合规建设应用安全和数据安全打下坚实基础。
申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!
近年来,面对日益激烈的市场竞争,如何实现生产原料和成品的高品质、低成本、高效率逐渐成为大部分公司的目标。条码管理技术的开发和应用可以使企业从传统的生产管理方式中彻底走出来,向数智化转型的方向迈进。北京三维天地科技股份有限公司在实验室数智化领域具有丰富的行业经验,致力于为客户提供信息化整体解决方案及相
2024年1月22日,人行数字供应链金融服务平台电子保函模块正式上线运行,全国首批共5家试点行于日前完成验收与上线工作。信雅达以专业、丰富的系统建设经验助力3家试点行(宁波银行、南京银行、徽商银行)电子保函系统建设,并于1月21日前完成系统上线准备工作,1月22日与人行同步正式上线系统运行,其中宁波
近日,艾灵完成1.5亿元A轮融资。本轮投资方包括英特尔资本、深圳天使母基金直投基金、TCL中新融创、浦耀信晔、住友商事亚洲资本、新电投资(SingtelInnov8)、华迪创投。据透露,艾灵本轮融资将用于深化工业5G、工业智能等核心产品的研发,加速在更多行业落地推广,推动重要行业市场大规模商用落地,
十年,是时间的标尺,也是发展的刻度。从2012年的2.5万亿到2022年的10.81万亿,国内软件产业收入增长了近4倍。特别是近两年,得益于数字经济的蓬勃发展,软件产业更是迎来了黄金期。在外部数字化需求的拉动下,产业内生动力强劲,服务商不断地加速产品进化、生态布局,以寻求新一轮增长。然而,一半是火焰
如今,很多CFO开始关注企业支出数据,希望通过精细化洞察分析,实现有效降本。但由于费用支出零散化、报销流程繁琐化、支出管理割裂化,导致支出数据分析无抓手,数据沉淀不完整导致分析结果无效。暗藏的合规行为如果没有及时发现,还会带来经营风险。分贝通近期发布《一体化支出管理案例集·春季版》,收录了智能制造、
从推出全电发票、改名数电票,到十多种票面样式落实;从少数城市试点,到试点城市覆盖全国范围......从“以票治税”到“以数治税”,数电票作为“金税四期”工程的重要载体,已进入全面普及时代!全面普及后,数电票的概念、数电票与纸质票的区别、如何开具和收票等......每家企业更要做到心中有数。01数电票
摘要:在信息技术快速发展和数字化浪潮席卷全球的今天,中国企业正积极迎接数字化转型的挑战和机遇。在这个过程中,国产化替代正成为中国企业提升信息安全性、实现自主创新与可控性、降低采购成本的重要路径。“从企业自身来讲,在推进精益化管理的进程中,实现软件产品的升级迭代,一方面,要汲取国外先进软件的精髓,另一
伴随“一带一路”的高质量发展,国内企业“走出去”在海外的布局越来越广,出海产业也不断升级迭代,对信息化、数据化建设也越来越重视,信息技术的不断发展在企业全球化布局起着至关重要的作用。凌锐蓝信为用户的全球业务提供高性能、安全和稳定的数智网络服务,消除用户的关键任务应用程序和全球实时流量的连接和延迟问题
随着全球化的加速和数字技术的普及,金融业面临着日益激烈的市场竞争和不断变化的客户需求。为了更好地适应新时代的要求,不少金融企业,特别是银行,正在积极推进数字化改革,打造一个全球业务支撑平台,以提高运营效率、降低成本、提升服务质量。根据德勤《DigitalBankMaturity2022》报告显示,银