盛邦安全API安全防护系统RayAPI_API接口攻击检测防护系统

立即咨询

立即试用

商务合作

盛邦安全API安全防护系统

盛邦安全API安全防护系统RayAPI，专注API接口攻击检测与数据防泄漏，覆盖接口全生命周期防护。实时拦截注入、越权等攻击，精准识别异常访问，防止敏感数据外泄，提供可视化风险报表，为企业API生态构建可靠安全屏障，保障接口通信安全。

立即咨询

API安全现状分析

API相关政策、事件

网信办发文要求

网信办对APP、API、小程序、数据有强监管要求多省已下发“API风险评估与审计的发文”

护网演习规则

21年下半年的攻防演习中，攻方集中的针对API接口22年国家级护网中，API安全相关内容明确写入评分规则中

数字化转型趋势

典型的互联网企业、电商平台等有大量对外的API 传统行业的数字化转型使业务有了大量对外的API

数据泄露事件

2020年,微博某APP业务逻辑API被非法调用导致3.5亿数据泄露 2021年，Facebook业务接口泄露导致5亿用户数据泄露

需要重点关注的API

各种APP、小程序向后的服务调用

各类微服务、数据中台中的数据调取

各大平台、系统组件间的集成对接

API安全现状

权限管控不细

数据暴露过大

专项防护不

API安全问题诱因

API缺乏统一标准规范

虽然拥有数据格式标准，如json和xml封装API交换数据，但API的编码没有统一标准

API的生命周期管理缺失

软件开发过程是敏捷和持续的，软件版本的生命周期管理和API的生命周期管理一直是关注度最少的环节

安全编码规范和意识不足

开发人员对安全领域涉及较少，在缺失安全编码规范的指导下，人员安全意识和安全编码能力不足

业务部门存在孤岛效应

不同的产品和开发团队也会因为其所采用的方式不同，信息传递不及时，容易形成 API孤岛

API安全治理思路

常见问题

API使用权限未严格限制，允许弱密码登录等
敏感数据过度暴露，URL直接传输账号密码或其他凭证
错误提示暴露过多信息，攻击者容易获取可利用情报

痛点分析

设备台账、系统明细、网络服务等有办法梳理，API资产不清且无从下手，暴露面风险隐患难消除
API开发时关注功能实现，较少考虑场景，权限过高、限制不足导致受攻击、非法调用和高频滥用的情况非常普遍
API本身就是用来对外交互并提供数据的，无法简单粗暴的隐藏起来，因此对用户而言管理压力大，防护难度大

解决方案

遵循资产安全治理思路，从“摸清家底”出发，先理清API，再针对防护

核心价值

能够帮助用户理清所有API资产，分级分类画像并形成完整清单。

能够帮助用户收紧API访问权限，细化使用限制，保护业务可用性

能够帮助用户发现API漏洞利用行为，实时阻断攻击，及时应急处置

API安全防护系统整体介绍 icon

API安全防护系统通过对访问流量进行分析，自动发现流量中的API接口，帮助用户快速梳理环境中未知API资产，并基于未知和已知API资产构建API资产画像；通过API资产画像，快速了解到API资产的访问行为以及存在的异常情况，针对性地进行安全防护和一键下线等操作，构建API全生命周期安全防护方案

API安全防护系统技术路线 icon

技术路线

围绕OWASP API TOP10，结合防护引擎，从应用安全切入API安全（围绕OWASP API TOP10）
采用资产治理思路，从资产摸底的角度细化API梳理画像和审计能力（遵循资产治理“五步法”思理）
结合重点的行业场景需求，做特定的业务模型和数据分类（针对特定场景做针对性设计）

API资产识别与梳理 icon

针对业务流量进行采集、建模数据分析全面识别未知API、临时API、历史遗留API等。

API资产识别与梳理 icon

针对流量解析学习，基于特征提取API资产，并通过静态资源匹配过滤非API资产

设定学习深度及智能归并条件，剔除重复的噪音数据

API资产画像与管理 icon

采用标签化的管理方式，通过全方位、多维度的画像展现，直观监控接口活跃态势、健康状态及安全趋势，对疑似失活或异常高频请求的API接口进行分析预警

API资产画像与管理 icon

失活API（活跃系统中存在非活跃接口）

偶尔有访问

整体访问次数偏低，活跃度低

异常高频调用（平稳运行的接口偶现大量访问）

某个时间段访问量激增

正常访问较少，异常调用偏多

API攻击检测与防护 icon

智能算法

通过机器学习算法训练攻击检测模型，在运行过程中持续理解优化，不断提升准确性

语义分析

在理解正常业务逻辑的基础上，利用语义分析上下文会话，找到可疑流量并做识别

规则检测

对访问会话的关键位置进行检查，利用海量积累的规则库进行特征匹配，识别攻击

API攻击检测与防护 icon

多引擎检测（特征+语义算法+AI训练）

根据攻击类型智能调度检测引擎

根据防护强度手动指定检测引擎

自定义规则（针对0day漏洞快速响应）

支持灵活的正则表达式

支持丰富的检查点配置

API数据识别与保护 icon

敏感词

用户自定义敏感信息预设暴力、反动、广告类型词库

个人隐私信息

身份证、邮箱、银行卡、信用卡、手机号码

弱口令防护

内置字典自定义字典

敏感信息保护

通过对系统敏感信息做隐藏或过滤处理，防止攻击者获取可利用信息；通过对个人隐私信息进行处理，防止信息泄露

敏感词统计处理

通过预设或自定义添加的敏感词库对发布内容进行检测识别，拦截非法、违规等敏感信息

弱口令防护

通过预设或自定义添加的弱口令字段对请求内容进行检测识别，防止暴力破解行为

API数据识别与保护 icon

敏感词检测防护（非法、受控）

接口提交内容检测拦截

接口返回内容识别过滤

隐私信息识别保护（涉敏、涉密）

敏感信息泄露统计

隐私信息识别保护

弱口令检测防护（简单重复口令）

弱口令请求检测拦截

口令破解攻击防护

API权限加固与保护 icon

API滥用

API滥用是指异常的接口调用，如用工具频繁访问API达到刷单、薅羊毛、暴力破解、DDoS等攻击目的

API盗用

API盗用是指冒用身份擅自调用他人API，达到非法获取敏感数据或非法执行管理员操作等攻击目的

API越权

API越权是指在未授权情况下访问API接口，如接口未授权或授权失效，使得攻击者执行水平或垂直越权

API权限加固与保护 icon

权限加固（滥用防护+盗用防护）

识别未授权访问并设定白名单策略

设定灵活的限速策略以加固宽松的API条件

BOT防护（防暴破+人机识别）

利用令牌加限速相结合的策略防暴力破解

利用反向合法性校验识别并阻拦BOT攻击

API应急处置

API安全防护系统简化策略可在突发紧急情况下，以最快速和最直接的方式，来实现API资产一键下线与上线恢复：（1）系统级一键上下线；（2）API接口级一键上下线；（3）基于条件的API访问控制

API安全审计

全面审计：支持对访问资产的客户端、源IP、源地域；支持对请求时间、域名、目的IP、目的端口等信息进行审计；支持对请求详情、请求头、请求体、响应进行审计

API态势监控

API资产总体状况
API详细访问日历
API攻击类型统计

API安全监测

API安全防护系统（RayAPI）采用镜像模式部署，具有以下优点:

应用无感知，只需在网络设备上配置流量镜像，API应用服务器没有任何感知；不占用服务器自身的计算资源，避免影响服务器正常运作

API安全防护

API安全防护系统（RayAPI）采用代理模式部署于受保护的网站之前，具有以下优点:

易于部署，不会因为服务器环境的不同，而有兼容性或无法部署的问题；不占用网页服务器自身的计算资源，避免影响服务器正常运作；无需改变客户网络架构，保证客户网络架构的稳定性

主要应用场景

数据保护

在数据全生命周期安全中，API调用环节的防护已经成为标配能力组件

攻防保障

常规入口已经很难攻破的情况下，将API作为突破口的攻防会成为常态。

业务保护

除互联网、金融等领域外，物流、电商、工商等也有迫切的API保护需求

新基建

智慧园区、智慧医疗、智能加油站等新型基础设施的建设中会产生大量API接口，安全需要配套建设

典型事件案例

典型部署案例

产品推荐

XEBS企业级应用所需的分布式块存储

XSKY星辰天合提供的SDS软件-XEBS分布式块存储，企业级应用所需的分布式块存储，支持多种虚拟化，数据库，容器平台的多路径SAN连接。与AIX、Linux、Windows下的应用或VMware、Citrix等企业级虚拟化技术充分认证对接。

免费试用

查看详情

腾讯云语音识别 ASR

腾讯云语音识别技术采用自主研发的Dual Path Attention Network（DPAN）模型，通过系统融合实现对语音信号高效的建模，在不同应用场景下，具备较好的鲁棒性。

免费试用

查看详情

腾讯云微瓴智慧建筑系统案例

腾讯云微瓴是一个腾讯自主设计研发的，适合各行业的、安全、灵活且可以高效触达用户的物联网操作系统，在智慧建筑和智慧城市场景中担当物、信息与人协作的枢纽。微瓴智能建造平台是基于微瓴数字开放平台，通过对工程建造领域IOT数据、业务数据、空间数据的融合，为工程建造提供数据共建共用、模型共建共享、应用共建共生的一站式建筑产业互联网平台。

免费试用

查看详情