2023年8月25日，中國信息通信研究院（以下簡稱“中國信通院”）、中國通信標(biāo)準(zhǔn)化協(xié)會聯(lián)合主辦的“2023 首屆SecGo云和軟件安全大會”在北京成功舉辦。作為本次大會的重點之一，可信安全“API安全能力成熟度”最新評估結(jié)果在會上正式發(fā)布。

API安全能力成熟度評估：從API產(chǎn)品視角出發(fā)，重點關(guān)注運維階段的API安全，提出資產(chǎn)管理、安全監(jiān)測、安全防護、API審計四大安全模塊，共計100余項標(biāo)準(zhǔn)細則，并基于不同能力要求，分為基礎(chǔ)級、增強級、先進級三大能力水平，幫助廠商規(guī)范API產(chǎn)品安全。

為規(guī)范行業(yè)API安全能力，助力企業(yè)不斷優(yōu)化升級安全技術(shù)，中國信通院牽頭制定了《應(yīng)用程序接口全生命周期安全管理要求》標(biāo)準(zhǔn)，建立了覆蓋API開發(fā)、測試、發(fā)布、運維、迭代、下線等全生命周期的業(yè)務(wù)交互接口能力要求。

依據(jù)《應(yīng)用程序接口全生命周期安全管理成熟度要求》，全知科技知影—API風(fēng)險監(jiān)測系統(tǒng)憑借著在API資產(chǎn)管理、API安全監(jiān)測、API安全防護、API審計中的優(yōu)秀表現(xiàn)，通過了中國信通院API安全能力評估，獲得先進級評級。

隨著數(shù)字技術(shù)的快速發(fā)展，API已經(jīng)成為推動現(xiàn)代軟件開發(fā)和數(shù)字化轉(zhuǎn)型的關(guān)鍵因素。作為連接不同應(yīng)用程序和系統(tǒng)的橋梁，API也成為了攻擊者重點光顧的目標(biāo)，其安全漏洞隨著調(diào)用量增多而暴露無遺。全面的API安全能力是企業(yè)應(yīng)對數(shù)字化風(fēng)險的必需利器。

知影-API風(fēng)險監(jiān)測系統(tǒng)?

全知科技首創(chuàng)的一款基于流量分析和數(shù)據(jù)識別技術(shù)的API風(fēng)險監(jiān)測系統(tǒng)，通過采集整個應(yīng)用程序環(huán)境中的API流量，實時發(fā)現(xiàn)最新最全的API數(shù)據(jù)，并跟蹤和刻畫API的歷史行為和生命周期，幫助企業(yè)掌握所有API畫像。

基于API畫像和利用大數(shù)據(jù)引擎技術(shù)，自動化識別API中可能存在的漏洞和弱點，實時分析、精準(zhǔn)識別API上存在的攻擊行為，集成或聯(lián)動第三方安全防護產(chǎn)品進行數(shù)據(jù)保護。通過API數(shù)據(jù)訪問行為留痕，幫助企業(yè)進行數(shù)據(jù)泄露溯源，從而及時發(fā)現(xiàn)和應(yīng)對安全事件。

產(chǎn)品功能

產(chǎn)品能夠提供一整套API資產(chǎn)發(fā)現(xiàn)、分類分級、弱點評估、風(fēng)險監(jiān)測、威脅攔截、審計溯源、集中管理等安全能力，實現(xiàn)互聯(lián)網(wǎng)出口、生產(chǎn)網(wǎng)、辦公網(wǎng)、測試網(wǎng)的全面覆蓋，滿足企業(yè)不同的管理模式需求。

1. API資產(chǎn)跟蹤發(fā)現(xiàn)?：發(fā)現(xiàn)全量API資產(chǎn)，提供API類型、API格式、API級別、API狀態(tài)、數(shù)據(jù)暴露面梳理等全方位的API資產(chǎn)描述；通過持續(xù)的監(jiān)測和分析API交互，識別API請求和返回內(nèi)容中包含的敏感數(shù)據(jù)，并及時更新敏感數(shù)據(jù)暴露的細節(jié)。

2. 重點API清單篩選 ：結(jié)合API攜帶的數(shù)據(jù)和API分類分級算法，對API進行分類定級，根據(jù)應(yīng)用系統(tǒng)、數(shù)據(jù)標(biāo)簽組合、敏感等級、訪問域、等多種維度分析、篩選，形成重點API清單，同時通過持續(xù)發(fā)現(xiàn)能力能夠自動監(jiān)測和跟蹤API的變化。

3. API弱點全面評估 ：產(chǎn)品集成OWASP API十大安全風(fēng)險，并包含50+項的弱點規(guī)則，覆蓋數(shù)據(jù)暴露、數(shù)據(jù)權(quán)限、安全規(guī)范、高危接口、口令認證等規(guī)則維度；提供全面的洞察力，幫助識別和解決API中的潛在風(fēng)險，提供修復(fù)建議和措施。

4. API風(fēng)險監(jiān)測分析 ：基于API畫像和上下文關(guān)聯(lián)信息，從數(shù)據(jù)泄露、Web攻擊、賬號安全三個維度對API活動進行實時監(jiān)測和分析，識別異常行為和惡意行為；識別記錄正常數(shù)據(jù)訪問行為的各個屬性，并建立API行為基準(zhǔn)線，判斷惡意活動。

5. API數(shù)據(jù)實時保護 ：集成多家API網(wǎng)關(guān)、WAF、SOC平臺等產(chǎn)品，根據(jù)風(fēng)險監(jiān)測結(jié)果自動阻止攻擊，實現(xiàn)數(shù)據(jù)保護；通過系統(tǒng)上的實時監(jiān)測和旁路阻斷功能，并結(jié)合強大的內(nèi)置威脅情報庫（在線更新）立即阻斷風(fēng)險行為，有效防止賬號劫持、未經(jīng)授權(quán)的數(shù)據(jù)訪問、數(shù)據(jù)批量拉取等。

6. 事件審計溯源分析 ：針對API的異常風(fēng)險事件，通過對敏感數(shù)據(jù)提取留痕，記錄數(shù)據(jù)訪問行為，主動進行關(guān)聯(lián)事件的相關(guān)性檢索分析，對數(shù)據(jù)行為進行精準(zhǔn)審計回溯并將結(jié)果匯總，便于及時補漏安全缺口。

產(chǎn)品價值

1、了解真實攻擊面：通過API全面識別和安全評估技術(shù)，主動發(fā)現(xiàn)和識別企業(yè)環(huán)境中存在的API，包括公開的和潛在的API，幫助全面了解真實攻擊面，并實現(xiàn)有效的攻擊面管理。

2、API高級風(fēng)險監(jiān)測：注重發(fā)現(xiàn)和修復(fù)與業(yè)務(wù)邏輯相關(guān)的安全漏洞，提升對業(yè)務(wù)邏輯風(fēng)險的識別和防范能力，有助于建立一個更加安全可靠的API生態(tài)系統(tǒng)，在防范新型安全風(fēng)險的同時，有效保護企業(yè)真實資產(chǎn)安全。

3、滲透測試效率提升：與滲透測試人員合作，針對重點關(guān)注應(yīng)用系統(tǒng)中的關(guān)鍵API進行重點測試；結(jié)合知影產(chǎn)品的檢測結(jié)果，模擬真實的攻擊場景，發(fā)現(xiàn)API系統(tǒng)中存在的潛在安全問題。

4、泄漏溯源與攻擊取證：在覆蓋API、應(yīng)用、數(shù)據(jù)的審計日志的同時，提供統(tǒng)一溯源的能力，不僅提供單條信息的訪問路徑還原，還可以通過批量溯源進行集中度分析，幫助企業(yè)在發(fā)生風(fēng)險事件后能夠進行回溯，還原風(fēng)險路徑、評估影響面。

5、API安全態(tài)勢掌控：內(nèi)置大數(shù)據(jù)引擎及豐富的檢測規(guī)則，能有效識別API攻擊行為、數(shù)據(jù)竊取行為，并記錄攻擊者行為，對后期進一步取證溯源提供強有力的證據(jù)。同時也能真實反映安全現(xiàn)狀，為后續(xù)進行安全建設(shè)提供思路，幫助企業(yè)掌握API安全威脅態(tài)勢，進行科學(xué)管理決策。

知影-API風(fēng)險監(jiān)測系統(tǒng)是全知科技自主研發(fā)的拳頭產(chǎn)品，也是國內(nèi)推出的首個API安全產(chǎn)品。技術(shù)創(chuàng)新驅(qū)動產(chǎn)品力提升，在全新升級的3.0版本中，知影-API風(fēng)險監(jiān)測系統(tǒng)實現(xiàn)了18項漏洞規(guī)則擴展、200%的處理性能提升、10大模塊化授權(quán)等功能迭代，具備更精準(zhǔn)的風(fēng)險識別、更多元的賬號解析以及更硬核的產(chǎn)品性能。

在中國信通院《應(yīng)用程序接口全生命周期安全管理成熟度要求》所要求的資產(chǎn)管理、安全監(jiān)測、安全防護、API審計四大安全模塊中，知影-API風(fēng)險監(jiān)測系統(tǒng)均達到了先進級能力要求（最高階別）；值得一提的是，憑借著API風(fēng)險監(jiān)測系統(tǒng)成熟的市場應(yīng)用和領(lǐng)先的產(chǎn)品力，全知科技入選了Gartner《2023中國智慧城市與可持續(xù)發(fā)展技術(shù)成熟度曲線報告》，被列為“跨省通辦”領(lǐng)域的中國推薦供應(yīng)商代表之一。

截至目前，知影- API風(fēng)險監(jiān)測系統(tǒng)已服務(wù)全國多家國有行、城商行、股份制銀行等，在金融銀行領(lǐng)域擁有超高市場占有率；除此之外，知影- API風(fēng)險監(jiān)測系統(tǒng)也在政府、運營商、醫(yī)療等各行各業(yè)成功落地應(yīng)用，為各行業(yè)的數(shù)字化發(fā)展提速提供關(guān)鍵驅(qū)動力。