转载｜数世咨询《API安全研究报告2022》正式发布 附下载

关于API

API（Application Programming Interface）较为通俗的解释是应用程序编程接口，由一组用于集成应用软件和服务的工具、定义和协议组合而成。

因API技术属于云原生代表性技术，并且API的应用与推广很大程度上依托于云计算的发展，数世咨询《数字安全能力图谱2021》将API 安全归纳于信息计算环境-云安全-云原生安全分类下。

图 1 数字安全能力图谱2021

数世咨询认为，API作为一种软件接口，主要用来实现应用程序之间的链接。在数字时代，由于敏捷性需求和微服务架构的发展，API具有的传输数据和提供能力两大功能，将是创新技术框架和商业模式的一大重要支撑。

发起背景

数字化的趋势是无法阻挡的，在数字时代，企业价值塑造需要由链条式转变为平台式。加之新冠疫情的影响，供应链的安全性和协作有效性、远程办公的紧迫性，也促使生态企业之间的整合逐渐加快了脚步。

为了应对数字时代的挑战，越来越多的企业已经在利用API的技术和经济模式来保证竞争力的延续。API不仅仅适用于云计算、物联网和大数据分析等数字化场景，它还可以帮助企业发掘并维系客户、构筑全新的业务生态。

然而，随着API巨大价值的体现，API攻击也呈现出指数级的增长趋势。据Gartner预测，“到2022年，API将成为网络攻击者利用最频繁的载体，而通过攻击API可以非授权使用企业的应用数据”。Gartner报告《Advance Your Platform-as-a-Service Security（25 August 2021）》已经明确地将API安全确立为保障PaaS安全的一个重要类别，该报告专注于指导企业如何提高PaaS的安全性，包括一个安全参考架构，显示了保护这些平台所需的内容，将API安全范畴独立于WAF和API网关，使其拥有了自己的功能分类。

虽然我们已经发现并且感知到，安全风险是阻碍企业数字化转型的最大障碍之一，但不得不重视的是，传统的安全技术被证明并不能有效地阻止API攻击，企业需要在现有防护基础之上的全新方法。

数世咨询认为，数字时代的API安全产品应该以API安全生命周期为线索，在解决协议覆盖、资产梳理以及攻击检测的基础上，通过深度学习的能力，精准描绘出业务逻辑和数据流向。通过对业务流量和数据的学习，整合安全资源，达到攻击预防、攻击阻断以及敏感数据泄漏防护的目的，最终实现API运行时防护的安全状态。

星阑科技 API安全分析平台

在数世咨询《API安全研究报告2022》报告认为：星阑科技API安全分析平台是国内位居前列的以API安全为核心的创新型解决方案，依托API Runtime Protection体系，基于AI深度感知和强大的自适应机器学习技术来为用户提供API安全生命周期安全防护，拥有以下特点：

1) 基于企业级大数据分析平台以及机器学习数据实体识别算法，提供符合国际通用和行业细分标准的敏感数据实体识别与分类分级能力。

2) 针对API恶意攻击事件、数据泄露事件、撞库攻击进行实时告警，使企业能够从容应对漏洞攻击、黑客入侵、数据泄露以及账号滥用风险。

3) 通过AI驱动的数据模型分析每一次API调用，区分正常访问与恶意攻击，自动更新防御逻辑，联动API网关实现毫秒级攻击拦截，在不影响业务的可用性与性能的前提下，主动屏蔽API攻击向量。

4月15日上午，由数世咨询举办的“2022 API安全之道 创新沙龙・北京”在网安小酒馆顺利举办。会上对该报告进行了发布，星阑科技还作为网络安全新锐力量、API安全赛道优秀企业代表受邀参加并进行主题演讲。

添加“小阑本阑”微信可获取报告全文

 

（长按或扫描图中二维码即可添加）

文章转载自“数世咨询”

往期 · 推荐

原文始发于微信公众号（星阑科技）：转载｜数世咨询《API安全研究报告2022》正式发布 附下载