由通付盾自主研发的“API安全访问管理系统”荣获公安部颁发的《计算机信息系统安全专用产品销售许可证》(以下简称“安全专用产品销售许可证”)。安全专用产品销售许可证要求在中华人民共和国境内的网络安全专用产品进入市场销售之前,必须申领该销售许可证。由公安部计算机管理监察部门对产品进行安全功能的检测和认定。该安全专用产品销售许可证具有很高的市场准入权威性。
当前API面临的安全问题
API经济已经成为数字化转型的重要趋势。越来越多的组织将API作为一种商业模式,向外部开放API以便与合作伙伴和开发者进行集成。目前针对API的攻击几乎遍布各个行业,其中金融、政务平台、游戏行业等依然是攻击者主要目标。无论是从API攻击的整体趋势,还是对企业以及用户的影响,都是不容乐观的。但是API架构的安全并未得到足够的重视,API安全风险所能带来的后果不可小觑。API安全面临的风险主要包括以下两个方面:
1、业务风险
(1)身份认证和访问控制:如果身份认证和访问控制不够严格,可能会导致数据泄露、非法访问等安全问题。
(2)恶意攻击:API容易受到各种类型的恶意攻击,如跨站脚本攻击(XSS)、跨站请求伪造(CSRF)、SQL注入等。这些攻击可能导致数据泄露、数据破坏和系统瘫痪等严重后果。
(3)第三方库和组件的安全性问题:API使用的第三方库和组件也可能存在安全漏洞,需要进行安全审查和测试,确保API整体的安全性。
(4)缺少安全审计和日志记录:API需要实现安全审计和日志记录功能,及时发现并处理安全问题。安全审计和日志记录可以记录API的使用情况、操作行为和异常情况等信息。
2、合规风险
(1)合规性管理问题:API需要符合法律法规和行业标准。在API设计、实现和使用过程中,需要考虑隐私保护、数据安全、数据使用权限等方面的合规性问题。
(2)数据泄露:API需要确保数据在传输和存储过程中的安全性和隐私性,以防止数据泄露、数据篡改等风险。数据保护的措施包括加密传输、数据脱敏、安全存储等。
通付盾零信任API安全访问管理系统
针对API面临的威胁,为帮助企业用户更好地应对当前API安全挑战,通付盾基于多年在业务风险及安全领域的技术积累,推出了通付盾零信任API安全访问管理系统(ZAM),对API进行全生命周期管理,为企业提供API的统一接入、访问认证、数据脱敏、安全防护等能力。同时基于决策智能引擎对API资产自发现、安全隐患监测、风险发现做针对性防范,规避因API带来的业务安全风险及数据安全风险。
API安全防护解决方案
通付盾零信任API安全访问管理系统(ZAM)通过其无代理部署选项快速且无摩擦地融入企业现有基础架构,收集整个应用程序中的API流量,展示所有API及其暴露的数据,基于广泛涵盖OWASP API风险,业务逻辑漏洞的扫描引擎,对API及相关服务进行漏洞扫描,进行企业资产风险评估,以强调API调用级别的故障排除和分析,消除易受攻击的API风险。
1.API资产暴增:自动识别API资产,实时了解目前存活的资产情况;
2.快速迭代无法保证API安全:API风险事件告警,检测API风险情况;
3.接口缺少维护,引发多种攻击隐患:多种攻击类型识别,添加规则防护;
4.敏感数据泄露:掌握涉敏API数据,使用动态脱敏、加密等措施,降低数据泄漏风险;
产品优势:
1.全面自动化:自动、持续的 API 发现,允许全面了解所有 API、敏感数据流和风险状况。
2.智能化漏洞分析:对API资产进行深度漏洞扫描,支持180+项的漏洞检测,自动生成风险报告及修正意见。
3.双引擎防护:在安全规则引擎进行 OWASP API Top10 防御的基础上,引入智能决策引擎,通过交叉验证持续学习,精准有效捕捉各类常规 Web 攻击、0day 攻击及其它新型未知攻击。
4.高效率、低成本:充分灵活的直联/旁路部署模式,支持各种环境部署方式,与安全WAF等工具集成,提升防护能力。
“没有网络安全,就没有国家安全”,成立十余载通付盾始终不忘初心,坚守品质,重视产品质量、打磨产品各个环节,以高品质产品服务客户。未来,通付盾将继续勤耕、深耕、精耕网络安全行业,引领创新,不断优化,提供安全高效的数字化解决方案,为国家数字经济发展与国家网络安全作出更大贡献。