近日,全球權(quán)威咨詢和調(diào)研機(jī)構(gòu)Gartner發(fā)布《2023年應(yīng)用安全技術(shù)成熟度曲線》Hype Cycle for Application Security, 2023,威脅獵人入選「API威脅防護(hù)」領(lǐng)域代表廠商,也是本次唯一入選的中國廠商。據(jù)了解,其“情報(bào)驅(qū)動”的API安全創(chuàng)新方案和技術(shù)優(yōu)勢起到了關(guān)鍵作用。
技術(shù)成熟度曲線是為企業(yè)提供評估各領(lǐng)域技術(shù)成熟度的典型工具,也是幫助行業(yè)客觀判斷技術(shù)潛力和商業(yè)價(jià)值的重要依據(jù)?!?023年應(yīng)用安全技術(shù)成熟度曲線》從業(yè)務(wù)效益、成熟度、市場滲透率等維度評價(jià)并分析了當(dāng)下備受關(guān)注的27種應(yīng)用安全技術(shù)及服務(wù),為企業(yè)用戶判斷技術(shù)潛力及商業(yè)價(jià)值提供參考。
為支持?jǐn)?shù)字化轉(zhuǎn)型過程中的信息流通以及各種系統(tǒng)、程序和應(yīng)用之間的連接,API 在應(yīng)用架構(gòu)中變得更加普遍。然而,這種增長引起了攻擊者的更多關(guān)注,使得API成為許多系統(tǒng)的主要攻擊面。
近些年因API安全問題導(dǎo)致的數(shù)據(jù)泄漏事件頻頻發(fā)生,可見API安全是一個常見但似乎又不為大眾熟知的領(lǐng)域。
報(bào)告提到,API威脅防護(hù)技術(shù)的應(yīng)用仍存在一些挑戰(zhàn),例如許多企業(yè)組織的API缺乏可見性,導(dǎo)致很多API存在于正常流程和控制之外,容易遭受攻擊。
此外,許多API安全問題都與業(yè)務(wù)邏輯有關(guān),API安全產(chǎn)品需要了解業(yè)務(wù)邏輯并識別異常流量,否則針對業(yè)務(wù)邏輯威脅的保護(hù)很難做到完全自動化。報(bào)告中還提到:”金融服務(wù)API本質(zhì)上是高價(jià)值的,容易被濫用和欺詐”。
以“情報(bào)”構(gòu)建API安全邊界
作為中國API安全領(lǐng)域的領(lǐng)先者,威脅獵人很早就關(guān)注到API安全的問題,并基于自身在安全領(lǐng)域多年的技術(shù)積累和海量攻防實(shí)戰(zhàn)經(jīng)驗(yàn)沉淀,推出國內(nèi)首個以“情報(bào)”能力為基礎(chǔ)的API安全管控平臺。
1.以API資產(chǎn)為中心,持續(xù)、動態(tài)梳理API資產(chǎn),包括及時了解API開放數(shù)量、API活躍狀態(tài)、僵尸API、影子API以及API中流動的敏感數(shù)據(jù)等情況,并對敏感數(shù)據(jù)類型進(jìn)行分級分類,讓企業(yè)可以非常清晰、量化地知道自己的API資產(chǎn)及其風(fēng)險(xiǎn)。
2.在API資產(chǎn)和數(shù)據(jù)資產(chǎn)可見的基礎(chǔ)之上,借助“情報(bào)”持續(xù)跟蹤攻擊者如何利用新型API漏洞進(jìn)行攻擊,包括業(yè)務(wù)API的邏輯漏洞、開源系統(tǒng)的API未授權(quán)漏洞等,及時告警撞庫、掃號、數(shù)據(jù)爬取等攻擊風(fēng)險(xiǎn),提升風(fēng)險(xiǎn)事件的響應(yīng)速度。
這一能力正好滿足了當(dāng)下一些基于規(guī)則特征的產(chǎn)品無法解決海量小號、秒撥代理IP低頻攻擊等API邏輯攻擊問題。
據(jù)了解,截至目前,威脅獵人已為銀行、證券、保險(xiǎn)、互聯(lián)網(wǎng)、汽車等多個領(lǐng)域的客戶提供API安全服務(wù),充分驗(yàn)證了威脅獵人在API安全領(lǐng)域的客戶信賴。