近日,全球權(quán)威咨詢和調(diào)研機構(gòu)Gartner發(fā)布《2023年應用安全技術成熟度曲線》Hype Cycle for Application Security, 2023,威脅獵人入選「API威脅防護」領域代表廠商,也是本次唯一入選的中國廠商。據(jù)了解,其“情報驅(qū)動”的API安全創(chuàng)新方案和技術優(yōu)勢起到了關鍵作用。
技術成熟度曲線是為企業(yè)提供評估各領域技術成熟度的典型工具,也是幫助行業(yè)客觀判斷技術潛力和商業(yè)價值的重要依據(jù)?!?023年應用安全技術成熟度曲線》從業(yè)務效益、成熟度、市場滲透率等維度評價并分析了當下備受關注的27種應用安全技術及服務,為企業(yè)用戶判斷技術潛力及商業(yè)價值提供參考。
為支持數(shù)字化轉(zhuǎn)型過程中的信息流通以及各種系統(tǒng)、程序和應用之間的連接,API 在應用架構(gòu)中變得更加普遍。然而,這種增長引起了攻擊者的更多關注,使得API成為許多系統(tǒng)的主要攻擊面。
近些年因API安全問題導致的數(shù)據(jù)泄漏事件頻頻發(fā)生,可見API安全是一個常見但似乎又不為大眾熟知的領域。
報告提到,API威脅防護技術的應用仍存在一些挑戰(zhàn),例如許多企業(yè)組織的API缺乏可見性,導致很多API存在于正常流程和控制之外,容易遭受攻擊。
此外,許多API安全問題都與業(yè)務邏輯有關,API安全產(chǎn)品需要了解業(yè)務邏輯并識別異常流量,否則針對業(yè)務邏輯威脅的保護很難做到完全自動化。報告中還提到:”金融服務API本質(zhì)上是高價值的,容易被濫用和欺詐”。
以“情報”構(gòu)建API安全邊界
作為中國API安全領域的領先者,威脅獵人很早就關注到API安全的問題,并基于自身在安全領域多年的技術積累和海量攻防實戰(zhàn)經(jīng)驗沉淀,推出國內(nèi)首個以“情報”能力為基礎的API安全管控平臺。
1.以API資產(chǎn)為中心,持續(xù)、動態(tài)梳理API資產(chǎn),包括及時了解API開放數(shù)量、API活躍狀態(tài)、僵尸API、影子API以及API中流動的敏感數(shù)據(jù)等情況,并對敏感數(shù)據(jù)類型進行分級分類,讓企業(yè)可以非常清晰、量化地知道自己的API資產(chǎn)及其風險。
2.在API資產(chǎn)和數(shù)據(jù)資產(chǎn)可見的基礎之上,借助“情報”持續(xù)跟蹤攻擊者如何利用新型API漏洞進行攻擊,包括業(yè)務API的邏輯漏洞、開源系統(tǒng)的API未授權(quán)漏洞等,及時告警撞庫、掃號、數(shù)據(jù)爬取等攻擊風險,提升風險事件的響應速度。
這一能力正好滿足了當下一些基于規(guī)則特征的產(chǎn)品無法解決海量小號、秒撥代理IP低頻攻擊等API邏輯攻擊問題。
據(jù)了解,截至目前,威脅獵人已為銀行、證券、保險、互聯(lián)網(wǎng)、汽車等多個領域的客戶提供API安全服務,充分驗證了威脅獵人在API安全領域的客戶信賴。