案例丨API 数据安全保护之道
令集团头疼的“API 数据安全保护难题”
某集团作为中国汽车产业的领军企业,一直以来在产销规模和市场份额上占据领先地位。该集团的核心业务高度依赖API进行数据处理和交互。然而,由于缺乏有效的监测手段,API调用和流转过程中的数据安全责任难以落实,导致敏感数据容易泄露,对集团的形象和信誉造成不可逆的损害。
该集团在数据安全建设过程中面临以下建设难点:
1. API数量激增导致管理困难:仅集团内部对外暴露的 API 数量就达到了 2W+,缺乏有效的手段梳理 API 资产清单,存在存量资产管理不当的安全隐患。
2. API 存在可被利用的脆弱性:在对 API 资产无法理楚的情况下,更无法感知对外暴露的 API 是否存在可被利用的脆弱性风险。
3. API 数据泄露风险无感知:未对API 调用行为进行监测和预警异常的调用 API 行为,无法及时发现是否有泄密、爬取的风险行为。
安恒 API 安全解决之道
要确保API的安全,必须先解决API资产管理的问题。API资产管理是指管理API资源和相关数据的过程,在实际应用中,由于API数量的增加和复杂性的提高,API资产管理变得越来越困难。安恒信息的API风险监测系统是一款集简单易用、风险监测准确、场景覆盖全面、资产运营高效、数据操作全面留痕于一身的API数据安全产品。该产品通过旁路部署,不侵入业务,轻松实现API 资产动态梳理和 API 风险监测。
该集团对外开放的 API 流量大小达到 20Gbps 。通过部署 2 台 API风险监测系统,帮助集团实现“数据资产可管、安全风险可见、API操作全面留痕”:
1. 动态资产梳理:系统共识别到 2000+对外暴露的应用系统、2w+API 。并发现疑似下线应用 15 个 、API 378 个。这不仅可以帮助企业更好地理解和管理API资产,也是识别并解决安全问题的重要依据。
2. 智能风险监测:此次系统共识别发现 1900 个 API 存在高危脆弱性风险,发现一起每日 0-2 点黑客暴力破解的攻击行为。系统持续监控API的脆弱性、合规、攻击行为,让企业能够及时了解风险,防范在先,扼杀事件发生的可能。
3. API全流量审计:系统全面留存API审计日志180+天,形成详细的审计日志。这不仅可以在事后帮助查明问题的原因,也使得API的调用更为透明,防止不正当操作和攻击行为。
“先进级” API 安全产品凭什么先进
去年安恒信息API风险监测系统就通过信通院全面测试评估,在 API 资产管理、API 安全监测、API 安全防护、API 审计四大安全模块的成熟度评测中均达到“先进级(最高级)”要求,成为全国首批通过API安全能力评估的产品。让我们来一探究竟,安恒的 API风险监测系统究竟有哪些优势,被评选为首批最高级 API 安全产品。
1. 告警准确:基于多年的数据安全经验积累,风险监测准确度达到 96.4%,以超高的准确率和全面的覆盖度全面领先 API 数据安全市场。
2. 性能优越:采用前沿的流量分析技术和高性能、稳定的产品架构,单产品解析流量大小达到 10Gbps。在此次测试过程中,2 台产品即可覆盖客户近 20Gbps 的 API 流量。
3. 策略全面:内置100+敏感数据标签、14套数据分类分级模版、10大类脆弱性风险策略、5大类行为风险策略。
4. 场景创新:首创以数据维度风险监测模型,以数据为线索监测安全风险,根据线索自动绘制API风险链路关系,可用于发现 API 二次封装、核心数据监测等场景。
随着API在企业中的重要性不断提升,API 资产安全管理成为确保企业核心业务安全可靠的关键。通过采用安恒信息的API风险监测系统,能够有效提升 API 数据资产管理能力,持续发现 API 脆弱性、数据泄漏风险,确保企业在数字化转型过程中的数据安全。