自新冠疫情爆發以來，全球范圍內的組織在數字化轉型上的步伐呈現明顯加速趨勢。谷歌發布的《2021 API 經濟報告》中指出，在2020年，近四分之三的組織繼續在數字化轉型上投資，其中，三分之二的組織加大投資或作出戰略調整，實行數字優先戰略。

  數字化轉型的核心是將組織的服務、資產和能力打包成互聯網服務，從而讓資源之間形成更強的連接和互動關系，釋放原有資產的價值，提升組織的服務能力，這其中，API是非常關鍵的技術。

  隨著數字化進程的發展，組織正在大量使用API。越來越多的APP被開發出來，開放架構在創新場景中的使用也越來越多。有數據統計，整個Web網站有83%的流量是通過API來訪問的。也有數據顯示，44%企業正在建造和維護100個或更多的API，API流量正在快速增長。

  API在帶來巨大便利的同時也帶來了新的安全問題， 很多企業甚至自己的不知道有多少API被開放，是否受控使用和有效使用，有怎樣的安全風險和隱患，就更不得而知。API安全正受到業界和學術界的廣泛關注，開放Web應用程序安全項目(OWASP)在2019年將API列為最受關注的十大安全問題。2020年，中國人民銀行發布了《商業銀行應用程序接口安全管理規范》，三大運營商也相繼發布了API安全管理規范。

  API安全造成的影響越來越大，而傳統API安全網關的部署與維護成本高，無法有效防護新興安全威脅。在此背景下，瑞數信息創新地推出了API安全管控平臺——API BotDefender，致力于解決API面臨的各種安全風險與挑戰，實現API的資產管理、攻擊防護、敏感數據管控和訪問行為管控，為業務創新保駕護航。

  API安全的常見解決方案

  許多企業都會參照OWASP十大項目做安全防護，但2019年OWASP發布的API安全十大項目發布的時間較短，許多企業還沒能及時作出相應防護。由于API安全涉及的范圍比較廣，一些常見的安全問題并沒有被列入其中，即使是對應API安全十大項目作出防護仍會有一些不足。

  API安全市場也處于相對早期階段，從目前的API安全市場來看，主要有兩類API安全解決方案:

  第一種，API安全網關方案。

  API技術的興起伴隨著技術架構上的變化，由于Http協議的問題造成了很大安全隱患。為了保障安全，需要開發者在開發階段針對API加入鑒權、認證以及防篡改方面的安全工作。同時，需要API網關之類的安全防護產品作出相應配置。

  2015年前后，市場上出現了以獨立的API網關為主的API安全解決方案，但在實際應用中發現，這種方案落地困難且成本較高，企業更傾向于使用應用開發者自建的API網關，專業的基于API網關的API安全方案沒有獲得預想的成功，于是API網關的產品形態還在繼續演進。

  在Gartner最新的WAF魔力象限中，提到了Web應用程序和API防護服務相結合的最新趨勢——WAAP，這是一種集合了DDoS、Bot緩解，API防護和WAF的安全防護平臺。Gartner有意將WAF與API防護能力結合起來，使得許多WAF廠商開始在WAF里集成API網關。

  作為安全產品形態上的一種自然而然的演化，它的主要問題在于缺少數據分析和管理的能力。

  第二種，基于數據分析的API安全方案。

  通過AI技術對API的訪問行為進行分析，發現API的各種異常訪問行為，提供API的管理。與API安全網關方案相比，此方案缺少的是安全威脅防控能力。

  瑞數信息的應對之道——瑞數API安全管控平臺(API BotDefender)

  瑞數信息于2019年就推出具有API感知、發現、監控、保護能力的API安全解決方案，今年更將此能力聚焦于API安全管控的4大核心功能，形成——瑞數API安全管控平臺(API BotDefender)，該平臺包括API資產管理、攻擊防護、敏感數據管控和訪問行為管控四大模塊，為API接口提供完整的安全管控方案。作為國內最早推出API安全管控解決方案之一的廠商，它充分體現了瑞數信息對于市場的觀察和理解：

  瑞數信息API安全管控平臺，主要面向新興的API安全風險，彌補了傳統方案中的不足。技術路線上，沒有選擇傳統的API網關技術，而是將WAF的安全管控能力與數據安全分析能力進行結合，是一種結合了以上兩種API安全方案優勢的全新方案。

  資產管理模塊

  通過引入API資產管理，實現對API資產的統一管理。API資產管理基于數據建模自動發現被保護站點的API資產，對API資產進行梳理、分析和上下線，幫助客戶實現API資產的生命周期管理。

  攻擊防護模塊

  綜合利用智能規則匹配及行為分析的智能威脅檢測引擎，持續監控并分析流量行為，有效檢測威脅攻 擊。智能威脅檢測引擎在用戶與應用程序交互的過程中收集數據，并利用統計模型來確定HTTP請求的異常。一旦確定異常情況，智能引擎就會使用機器學習獲得的多種威脅模型來確定異常攻擊。

  敏感數據管控模塊

  對API傳輸中的敏感數據進行識別，針對敏感數據可以進行脫敏或者實時攔截，防止敏感數據泄露。

  訪問行為管控模塊

  對API接口的訪問行為進行分析，通過多維度建立API訪問基線、API威脅建模，發現惡意訪問行為，避免惡意 訪問造成的業務損失。

  主要應用場景

  API資產自動發現

  API安全管控平臺通過對訪問流量進行分析，自動發現流量中的API接口，實現API接口自動識別、梳理和分組。

  API攻擊防護

  識別各種針對API的安全攻擊，對安全攻擊進行實時防護;對API請求參數進行合規管控，對不符合規范的請求參數實時管控。

  API流量監控與保護

  監控API的訪問行為，針對高頻情況等進行防護，防止高頻情況等造成的API性能瓶頸。

  非法API調用防護

  通過從API網關上獲取API認證和鑒權數據，防止未授權的API調用，保障API接口只能被合法用 戶訪問。

  API濫用防護

  針對API接口，防止其被濫用并用于謀取利益。

  API資產生命周期管理

  對發現的API接口進行生命周期管理，基于關鍵字搜索功能快速分組，并且對分組后的 API資產指定責任人，實現API資產的導入和導出、資產上下線。

  API敏感數據管控

  對API傳輸中的敏感數據進行識別，針對敏感數據可以進行模糊化或者實時攔截，防止敏感數據泄露。

  未知API發現

  通過從API網關上獲取API注冊數據，與API資產進行對比，發現未知API接口，防止未知API 訪問造成的業務訪問壓力，導致業務不可用。

  API訪問行為管控

  監控API接口的訪問和使用狀況，包括成功率、性能等，通過建立多維度訪問基線和API威脅建模，監控基線偏離狀況，高效識別異常訪問行為，避免惡意訪問造成的業務損失。

  核心優勢

  瑞數API安全管控平臺(API BotDefender)，能夠實現從API接入客戶端到API服務器端的全程式API安全威脅防護。

  API全自動發現

  瑞數API安全管控平臺(API BotDefender)的“Discover發現模塊”，可以快速自動地發現API，并且針對發現的API給出明確的認定;同時，顯示出清晰的API列表，對API接口的訪問情況一目了然。

  構建API畫像

  瑞數API安全管控平臺 (API BotDefender)，采用全程式安全威脅防護技術，從而利于精準地構建API畫像;通過API畫像，可以快速預覽各個業務的API情況，包括使用情況、異常情況、訪問來源等。

  API全渠道感知

  提供各種SDK，方便與各類API來源應用進行集成，可以對來源環境和用戶行為進行感知。

  動態響應防護

  可根據行為分析的結果或指定條件，進行動態響應防護，提升通過逆向探測或機器學習分析等攻擊手段的難度。

  此外，瑞數API安全管控平臺的部署方式非常靈活，支持軟件、硬件和云的方式進行部署，可以大大降低部署、管理和維護成本。同時，占用資源少，不影響服務器的正常運行，可以實現應用無感知部署。

  目前，API安全問題在金融、政府、運營商三大行業獲得了廣泛的關注，瑞數API安全管控平臺也憑借其突出的技術實力和防護能力，在該三大行業成功應用，全面助力用戶解決API安全層面的各類問題，為業務的創新和穩定進行保駕護航!

申請創業報道，分享創業好點子。點擊此處，共同探討創業新機遇！