近日,全球權威咨詢和調研機構Gartner發布《2023年應用安全技術成熟度曲線》(Hype Cycle for Application Security, 2023),威脅獵人入選「API威脅防護」領域代表廠商,也是本次唯一入選的中國廠商。據了解,其“情報驅動”的API安全創新方案和技術優勢起到了關鍵作用。
技術成熟度曲線是為企業提供評估各領域技術成熟度的典型工具,也是幫助行業客觀判斷技術潛力和商業價值的重要依據。《2023年應用安全技術成熟度曲線》從業務效益、成熟度、市場滲透率等維度評價并分析了當下備受關注的27種應用安全技術及服務,為企業用戶判斷技術潛力及商業價值提供參考。
為支持數字化轉型過程中的信息流通以及各種系統、程序和應用之間的連接,API 在應用架構中變得更加普遍。然而,這種增長引起了攻擊者的更多關注,使得API成為許多系統的主要攻擊面。
近些年因API安全問題導致的數據泄漏事件頻頻發生,可見API安全是一個常見但似乎又不為大眾熟知的領域。
報告提到,API威脅防護技術的應用仍存在一些挑戰,例如許多企業組織的API缺乏可見性,導致很多API存在于正常流程和控制之外,容易遭受攻擊。
此外,許多API安全問題都與業務邏輯有關,API安全產品需要了解業務邏輯并識別異常流量,否則針對業務邏輯威脅的保護很難做到完全自動化。報告中還提到:”金融服務API本質上是高價值的,容易被濫用和欺詐”。
以“情報”構建API安全邊界
作為中國API安全領域的領先者,威脅獵人很早就關注到API安全的問題,并基于自身在安全領域多年的技術積累和海量攻防實戰經驗沉淀,推出國內首個以“情報”能力為基礎的API安全管控平臺。
1.以API資產為中心,持續、動態梳理API資產,包括及時了解API開放數量、API活躍狀態、僵尸API、影子API以及API中流動的敏感數據等情況,并對敏感數據類型進行分級分類,讓企業可以非常清晰、量化地知道自己的API資產及其風險。
2.在API資產和數據資產可見的基礎之上,借助“情報”持續跟蹤攻擊者如何利用新型API漏洞進行攻擊,包括業務API的邏輯漏洞、開源系統的API未授權漏洞等,及時告警撞庫、掃號、數據爬取等攻擊風險,提升風險事件的響應速度。
這一能力正好滿足了當下一些基于規則特征的產品無法解決海量小號、秒撥代理IP低頻攻擊等API邏輯攻擊問題。
據了解,截至目前,威脅獵人已為銀行、證券、保險、互聯網、汽車等多個領域的客戶提供API安全服務,充分驗證了威脅獵人在API安全領域的客戶信賴。
