喜数API安全防护平台_APISEC安全监测系统_API扫描器

立即咨询

立即试用

商务合作

喜数API安全防护平台

喜数API安全防护平台，融合APISEC安全监测系统、API扫描器及数据安全管控平台。可实现API全生命周期防护、漏洞扫描与数据安全管控，适配多场景API安全需求，强化接口防护能力，保障数据传输安全，助力企业API安全体系建设。

立即咨询

建设目标和思路

开发

API注册和订阅

API Mocke
API漏洞分析

联动发布

运维

资产梳理（清单、状态）

调用关系
可视化

异常

行为异常

应用异常

攻防

API接口漏洞

快速响应

攻防大屏监控

数据

敏感数据识别

数据流转关系
溯源举证

监管要求

APISEC安全平台 icon

产品简介

APISEC安全平台”是一款针对Web、APP、小程序loT等应用系统的流量分析系统，能够帮助客户实现API全生命周期管理，提升资产可视性与管理效率增强API安全防护，保障业务连续性与数据安全，促进合规，降低法律风险，并智能告警风险，协助加固安全弱点

API资产管理

数据采集

网络探针、应用探针、容器探针

数据解析

支持解析HTTP、GRPC、Soap、WebSocket、MQTT等协议，支持解码JSON、字符串、XML、Parquet 等格式，支持解析接口规范类型包含 Restfu API、JSONP等；支持资源类型包含 PDF、DOC/DOCX、XLS/XLSX、PPT/PPTX等

API识别

API识别、账号识别、源IP识别、数据识别、静态资源识别、API聚合/拆分、第三方API识别

资产梳理

API生命周期清单、API可视化清单、涉敏API清单、暴露面API清单、异常用户清单、僵尸API清单、影子API清单、API风险等级、API分类分级

API分析

API画像、账号画像、源IP画像、行为基线

API资产管理

应用分析

应用资产

应用识别、应用管理、应用分类、应用聚合、应用拆分

访问关系

应用间访问关系、容器内应用访问关系、终端与应用访问关系

风险评估

风险等级评估模型、漏洞分析、异常行为、敏感数据及关联风险、访问统计、访问趋势

应用分析

漏洞分析

检测方式

被动流量分析务

监控数据流量，实时准确识别在业务活动过程中存在的API安全风险

规则库检测

基于内置漏洞检测规则进行分析检测。支持用户添加自定义规则
上下文分析

借助数据流量上下文分析揭示的异常访问行为，深入剖析响应状态，推导API漏洞。依托基线数据、机器学习和深度学习方法，实现漏洞校准

主动扫描检测

主动发起试探检测流量，按设定检测任务对目标资产进行漏洞扫描
Payload扫描
基于payload脚本发起主动请求攻击，根据攻击响应结果规则匹配以及智能语义分析识别漏洞

攻防态势

攻击告警

结合内置的异常行为、脆弱性、数据安全、威胁情报的分析检测能力及时对异常访问和潜在攻击行为告警

事件溯源

追踪和分析风，险事件的来源和访问链路，快速定位安全事件的根源，协助组织找到应对措施

安全报告

对风险事件和检出漏洞进行分析和整理，生成详细的安全报告和全面评估帮助组织制定有效的安全策略和措施

风险态势展示

实时监测并展示风险事件、来源、漏洞等信息，帮助组织直观地了解当前羝全状况，及时调整安全策略和措施

数据安全分析

API与数据安全治理之间存在着密切的关系。通过加强API层面的数据安全治理，可以有效提升整个数据治理体系的安全性和可靠性，保障数据的安全性和可用性

敏感数据识别

预置通用数据规则、行业模板，使数据安全模块开箱即用；同时系统具备自定义数据规则功能，最大程度适配不通用户个性化场景

数据流转分析

全面监控数据流转过程，精准勾勒源IP至应用的数据传输链路，协助用户迅速追溯数据泄漏源头

数据流转分析

异常行为分析

产品架构图

漏洞扫描流程图

产品组件说明

资产发现组件

主要是识别应用下泄露的API接口文档和对未授权的API接口的发现，还包括对API的指纹发现、对泄露的API接口文档进行解析等

爬虫组件

主要是从URL的前端JS中去爬取到API接口以及对导入的API资产文档进行主动漏洞扫描的功能

扫描组件

主要是进行被动人机交互探测，接收到浏览器过来的代理流量后自动对API进行深度安全检测，，识别常见API漏洞以及和API相关的第三方库和组件的安全漏洞

数据库

存储扫描历史、发现的漏洞、配置的参数等。支持高效的数据检索和管理，确保扫描结果的持久性

产品功能模块

1、目标输入（支持单个URL、URL文档、API接口文档的导入）
2、扫描模式（安全模式、攻击侵入模式）
3、扫描进度管理（可实时查看扫描详情、暂停扫描等）
4、扫描报告（含资产详情、漏洞统计、漏洞详情、漏洞修复建议等）
5、安全配置（API安全的检测策略、代理服务器配置、证书配置、全局排除项配置、身份验证配置）

产品优势

内置 API 资产主动发现策略，可以主动扫描API资产路径、参数等信息
内置 OWASP API Security Top 10 安全检测策略
能够全方面对目标应用进行API资产梳理和漏洞发现
能够深入到API层面包括不限于采用超范围值、特殊字符、非法格式等各类引发异常情况的输入内容进行验证检测，而非局限于基本的数据输入

AP发布平台解决方案 icon

功能一览

发布控制

管理API的生命周期，即时控制上线/下线服务状态

路由转发

控制对外服务地址，隐藏真实服务信息

认证授权

提供Basic Auth、HMAC、数字证书等多种认证方式，结合消费者凭证，对客户端进行权限身份认证

安全防护

提供机器人访问检测、跨域访问、黑白名单限制等功能，保护目标服务安全

功能一览

灰度发布

控制流量转发至服务节点比率，完成灰度发布

流量转换

提供请求信息/响应信息转换，借助此对请求/响应信息定制化，可实现诸如数据脱敏等功能

日志记录

提供多种请求日志格式，文本日志、http log、syslog，也支持日志推送至 kafka 消息中间件

流量控制

拥有负载均衡、请求/响应限速、请求终止、请求体限制等流量控制功能

动态防护

对接api安全分析平台，对存在风险的api做即时阻断限流等把控

证书管理

证书管理，提供https域名访问能力

数据脱敏

配置规则，对响应中敏感数据脱敏处理，隐藏敏感内容

权限管理

控制不能角色用户可见数据范围和操作权限，如创建、审核和发布API

发布控制

配置动态路由、插件、消费者后交由管理员审核；通过后，服务才正式对外提供

配置路由信息

配置发布平台对外暴露地址，包括协议、请求路径、请求方法等；实际目标服务地址

配置消费者

配置调用方（客户端）信息

审核

管理人员对发布请求进行审核，审核通过后服务正式对外暴露使用

添加功能插件

配置所需功能，如认证、限流阻断、防护等

添加消费凭证

配置客户端的凭证信息，调用时作为认证信息使用

客户端调用

客户端携带消费凭证信息，根据配疁置的路由规则，对暴露地址开始访问

认证授权

支持多种认证方式

安全防护

Bot Detection

爬虫、机器人攻击检测，并可配置允许访问的客户端列表

CORS

跨域请求配置

IP Restriction

源IP黑白名单配置

流量控制

对请求的速率、大小、状态和流向进行控制

Rate Limiting

请求速率限制；单位时间内控晡制请求次数

Response Rate Limiting

响应速率限制；单位时间内控制响应次数

Request Size Limiting

请求体大小限制；对超过指定配置的请求阻断

Request Termination

请求终止；服务暂停接收外部请求，设置统一响应信息

Load Balance

负载均衡；配置负载策略将请求分散至不同服务节点

流量转换

对请求/响应信息定制化设置

Request Transformer

请求转换；修改请求信息，如添加请求头

Response Transformer

响应转换；修改响应信息，如添加响应头部信息

Data Mask

数据脱敏；配置脱敏规则对指定字段脱敏后再响应给客户端

日志

请求/响应信息日志推送

File Log

将请求和响应信息追加到文本文件

Syslog

将请求和响应信息发送至syslog

Kafka Log

将日志推送至kafka

三方集成

因发布平台是对流量进行实时转发，所以可通过接入第三方安全检测平台，对存在风险的api即时进行阻断限流或其他操作

功能介绍

负载均衡
通过主动健康检査、被动健康检査、轮询、加权轮询、IP哈希、最少连接等负载均衡策略，实现将请求流量转发相应的后端服务

功能介绍

平台架构

使用发布平台

API安全运营平台威胁检测与响应 icon

威胁闭环、自动化处置流程、集中管理

规则管理

通过界面化规则配置方式，对实时数据以及历史数据进行聚合、关联、对比等自动分析，实现威胁建模

威胁处置

展示触发威胁模型的告警，通过关联资产信息、漏洞信息以及情报信息，为安全人员提供追踪、分析依据

情报管理

通过自定义配置的方式，对接第三方威胁情报，并与威胁告警、安全日志进行关联分析，丰富化告警/日志信息，及时识别和应对攻陷指标（IOC），增强威胁和检测能力

态势呈现

采用仪表盘、态势大屏、报表等各种方式選合的方式进行态势呈现，协助安全管理人员直坣观掌握系统态势情况，辅助决策

流程编排

针对安全事件建立工单，指定处置流程，并可自动或一键联动安全设备/系统，对相关的实体进行响应

调查分析

以攻击链、时间轴、溯源分析三种方式分析安全事件之间的关联性，找出威胁的攻击痕迹

敏感识别模块

支持多层敏感扫描技术
根据数据金融行业分类分级指南定义敏感数据范围
根据正则表达式、关键词匹配及AI智能识别算法等自动发现敏感数据特征，通过数据采样分析计算敏感数据的命中率，敏感数据识别的准确性达到99%以上

分类分级模块

数据分类分级是在行业或者企业分类分级标准的基础之上，给企业提供数据分类分级的管理平台，便于企业根据分类分级的结果采取恰当的安全防护措施，保证数据安全

痛点问题

企业数据种类多、数据量大，敏感资产不清晰，梳理困难
敏感数据定义不全、不统一
有数据分类分级相关管理办法但是落地难，更新不及时，容易引起新增敏感数据泄露

应用场景

帮助用户快速识别和梳理企业的数据资产
帮助用户对企业数据资产进行标准的数据分类分级，满足等保的要求
帮助用户自动发现敏感数据（隐私数据）
为用户的安全管控策略提供基础和依据

解决方案

平台支持多样化，包括传统数据库、大数据平台、以及文本文件等
数据分类标签管理
预定义和业务业务需求自定义分类分级法
覆盖政务数据、企业商业秘密和个人数据的保护
上下游结合，提供态势可视化、数据安全管控能力

静态脱敏模块

静态脱敏将数据从生产环境抽离，进行脱敏处理后加载到目标环境，方便企业数据安全和测试数据的管理，保护企业隐私数据，拥有高安全性、高可用性、高可靠性、高稳定性、高效率的特性

痛点问题

生产环境的数据必须经必要的屏蔽、脱敏后，才允许导入开发测试环境
无制度流程保障：虽然企业制定有相应的数据屏蔽基线和流程，但在执行层面仍缺乏有效的机制来保障流程的合规性
敏感数据定义不全：人工定义敏感字段，通常会导致遗漏敏感字段
数据质量不高：手工脱敏无法保证数据之间的关联性
时效性较低：手工导数脱敏耗时耗力，时效性难以满足日益迫切的测试数据需求

解决方案

内置丰富高效的脱敏算法，包括唯一仿真脱敏、随机、遮罩、特定值替换、截取、可逆变换与还原、加密、人脸图像高斯模糊等算法
高仿真脱敏算法保证脱敏后数据的仿真性、唯一性、数据关联性、业务关联性等。同时产品支持表结构同步、数据库对象同步，保证目标数据库数据的完整性
集成丰富的个性化业务脱敏场景，包括但不限于混合数据、字段依赖、关联计算、可逆还原安全例外、异构库脱敏等场景
分布式集群部署模式，满足企业客户海量数据脱敏效率和高可用需求
标准API接口，与客户的ITSM、0A、邮件平台等系统完美对接，快速融入客户本地，打造一体化信息平台

动态脱敏模块

动态脱敏用于直接访问生产数据库的应用场景，通过部署代理服务器的方式实现SQL协议的精准解析，按脱敏策略进行改写或者阻断这个过程中对生产环境的数据不做任何改动