可以說,API(Application-Programming-Interface,應(yīng)用程序編程接口)是當(dāng)今數(shù)字世界的基礎(chǔ)設(shè)施,。無論是云上應(yīng)用,還是物聯(lián)時代,,API都是SaaS和web應(yīng)用程序的關(guān)鍵組成部分,,尤其隨著云原生的發(fā)展,API的應(yīng)用會越來越廣泛,。相應(yīng)的,,API已為攻擊者的重要目標(biāo),眾多數(shù)據(jù)泄露事件都與API的安全問題有關(guān),。在數(shù)字化轉(zhuǎn)型浪潮的今天,,沒有安全的API,創(chuàng)新和發(fā)展都無從談起,。
7月23日,,星闌科技發(fā)布了新產(chǎn)品螢火“API-Intelligence”安全分析平臺。該產(chǎn)品聚焦API安全,,采用“大數(shù)據(jù)分析+異步實時阻斷”的方式,,提供全景化API識別、API高級威脅檢測,、復(fù)雜行為分析等能力,,構(gòu)建全生命周期的API運行保護(hù)體系。
作為一家人工智能,、信息安全領(lǐng)域的雙料科技公司,,星闌科技利用自身專業(yè)的技術(shù)團(tuán)隊和豐富的網(wǎng)絡(luò)安全經(jīng)驗,選擇了API安全作為數(shù)字時代的安全體系基石,。在信息化社會,,API已經(jīng)無所不在,支撐著網(wǎng)絡(luò)和應(yīng)用的飛速發(fā)展,。但API的安全問題長久以來卻一直得不到足夠重視,,在這個灰色地帶中,各類風(fēng)險正在不斷擴大,。
星闌科技CEO王郁認(rèn)為,,在全球加速邁向數(shù)字經(jīng)濟的時代,API面臨的環(huán)境比傳統(tǒng)的Web安全更為復(fù)雜,,API安全是一個交叉方向上的新生安全問題,,其面臨的10大安全問題包括:無效的對象級授權(quán),、無效的用戶身份認(rèn)證,、過度的數(shù)據(jù)暴露、資源缺乏和速率限制,、無效的功能級授權(quán),、批量分配、安全配置錯誤,、注入,、資產(chǎn)管理不當(dāng),、日志和監(jiān)視不足。涉及到的安全場景包括數(shù)據(jù)安全,、業(yè)務(wù)安全等,。
“萬物互聯(lián)時代,API是承載應(yīng)用數(shù)據(jù)交換的‘血液’,?!蓖跤魪娬{(diào)。但當(dāng)前API安全面臨著種種挑戰(zhàn):API數(shù)量快速增長,,攻擊面不斷擴大,;API安全的實踐經(jīng)驗匱乏;外部環(huán)境不斷變化帶來的合規(guī)性挑戰(zhàn),。為此,,在萬物互聯(lián)的未來,我們需要用數(shù)據(jù)智能的方法去解決復(fù)雜的API安全問題,,螢火產(chǎn)品的出發(fā)點就是構(gòu)建面向復(fù)雜行為的API防護(hù)體系,。通過以API為切入點, 實現(xiàn)API上面各種載體的安全性,。王郁認(rèn)為,,API的安全價值轉(zhuǎn)化和傳統(tǒng)的安全思路有非常大的差異,API安全的價值轉(zhuǎn)化是縱向的,,即以API為能量入口,,構(gòu)建解決不同場景問題的API的安全應(yīng)用和服務(wù),縱向轉(zhuǎn)化成不同場景下的安全價值,,最終解決數(shù)據(jù)安全,、應(yīng)用安全的問題。
星闌科技CTO徐越對螢火安全分析平臺進(jìn)行了詳細(xì)介紹,。螢火平臺可以實現(xiàn)對API使用情況的實時監(jiān)控,,異常訪問的可視化。對流量中的API自動聚合,、分類,、自定義標(biāo)簽化管理;并以樹狀圖的方式便于管理員進(jìn)行探索和調(diào)查從而實現(xiàn)API統(tǒng)一管控,。通過匯集一線紅隊與Star-Cross Portal實驗室的漏洞研究成果,,全方位發(fā)現(xiàn)API的Web漏洞、應(yīng)用漏洞,、協(xié)議漏洞以及數(shù)據(jù)泄露風(fēng)險,,提供修復(fù)方案與加固建議,防患于未然。還能基于企業(yè)級大數(shù)據(jù)分析平臺以及機器學(xué)習(xí)數(shù)據(jù)實體識別算法,,提供符合ISO PI PII標(biāo)準(zhǔn)以及金融,、政府、通信行業(yè)細(xì)分標(biāo)準(zhǔn)的敏感數(shù)據(jù)實體識別與分類分級能力,,并在此基礎(chǔ)上針對API惡意攻擊事件,、數(shù)據(jù)泄露事件、撞庫攻擊進(jìn)行實時告警,,使企業(yè)能夠從容應(yīng)對漏洞攻擊,、黑客入侵、數(shù)據(jù)泄露以及賬號濫用風(fēng)險,。此外,,產(chǎn)品通過AI驅(qū)動的數(shù)據(jù)模型分析每一次API調(diào)用,區(qū)分正常訪問與惡意攻擊,,自動更新防御邏輯,,聯(lián)動API網(wǎng)關(guān)實現(xiàn)毫秒級攻擊攔截,在不影響業(yè)務(wù)的可用性與性能的前提下,,主動屏蔽99%以上的攻擊向量,。
發(fā)布會還邀請了資深行業(yè)專家,以主題演講和圓桌論壇的形式,,圍繞API安全態(tài)勢和發(fā)展,,進(jìn)行了解讀和分享。
中國計算機學(xué)會計算機安全專委會榮譽主任嚴(yán)明:對數(shù)據(jù)要素掌控和利用能力,,已成為衡量國家之間競爭力的核心要素,。數(shù)據(jù)安全是網(wǎng)絡(luò)安全、社會安全乃至國家安全不可或缺的關(guān)鍵要素,,而數(shù)據(jù)安全保護(hù)中,,API安全是一個常見但又不為人熟知的挑戰(zhàn),需要安全服務(wù)商提供更強有力的技術(shù)支持和服務(wù)保障,。
蘋果資本創(chuàng)始人胡洪濤:對應(yīng)現(xiàn)實世界,,API就像隨處可見的道路,它是數(shù)字世界的基礎(chǔ)設(shè)施,,重要程度不言而喻,。很多API通信標(biāo)準(zhǔn),例如RESTful API,,已經(jīng)在物聯(lián)網(wǎng),、微服務(wù)、云原生等場景都得到了非常廣闊的應(yīng)用,。根據(jù)Adroit市場報告顯示,,到2028年API管理市場總規(guī)模216.8億美金,,其中API安全占了30%,,API安全市場具有無限的潛力,。
360政企安全集團(tuán)首席戰(zhàn)略官潘柱廷:API安全已日漸成為網(wǎng)絡(luò)應(yīng)用方面的主要技術(shù)需求之一。未來,,開發(fā)人員需要進(jìn)一步加大對于API業(yè)務(wù)模型,、分析能力、技術(shù)藍(lán)圖,、以及合規(guī)性與標(biāo)準(zhǔn)化方面的深入研究與開發(fā),。
騰訊安全玄武實驗室負(fù)責(zé)人于旸:星闌此次發(fā)布的API安全產(chǎn)品螢火,在彌補傳統(tǒng)安全方案中不足的同時解決了新興的API安全風(fēng)險,,解決了傳統(tǒng)API安全網(wǎng)關(guān)的部署與維護(hù)成本高的問題,,符合當(dāng)今技術(shù)發(fā)展趨勢,具有非常重要的意義,。
華為云首席安全生態(tài)官萬濤:云原生是必然的IT演進(jìn)趨勢,,在數(shù)據(jù)交互的方式上API占比將越來越高,云時代下,,API出了問題,,不僅會影響用戶的使用體驗,威脅個人的隱私安全,,也會使企業(yè)面臨數(shù)據(jù)安全風(fēng)險,。所以,在云原生時代下做好API安全至關(guān)重要,。
元起資本創(chuàng)始管理合伙人何文?。簭耐顿Y角度看安全產(chǎn)業(yè)的發(fā)展有三個維度,第一是有沒有新的IT對象需要被保護(hù),,第二是行業(yè)是否會出現(xiàn)新的安全機會,,第三是安全攻防技術(shù)的演進(jìn)和迭代。API安全問題符合第一個特征,,未來市場對API安全的需求會不斷增加,,前景看好。
數(shù)世咨詢創(chuàng)始人李少鵬:無論在國內(nèi)還是國際上,,API安全日漸成為網(wǎng)絡(luò)應(yīng)用方面的主要技術(shù)需求之一,。研發(fā)人員需要進(jìn)一步加大對于API業(yè)務(wù)模型、分析能力,、技術(shù)藍(lán)圖,、以及合規(guī)性與標(biāo)準(zhǔn)化方面的研究與開發(fā)。
“聰者聽于無聲,,明者見于未形”,,API安全這個新賽道在充滿挑戰(zhàn)的同時,也充滿無限可能。王郁在總結(jié)中表示,,未來在復(fù)雜的API生態(tài)體系下,,星闌科技將以用戶需求為指引,進(jìn)行更多的技術(shù)創(chuàng)新和場景落地,,推出更多新產(chǎn)品,,不僅從技術(shù)層面做好API安全的防護(hù)工作,并且注重對于API監(jiān)管和合規(guī)價值的轉(zhuǎn)化,,以滿足更多各行各業(yè)用戶的安全需求,,“讓智能化的安全能力守護(hù)用戶的每一次網(wǎng)絡(luò)調(diào)用”。