立即咨询

电话咨询

微信咨询

立即试用
商务合作

盛邦安全API安全防护系统

盛邦安全API安全防护系统RayAPI,专注API接口攻击检测与数据防泄漏,覆盖接口全生命周期防护。实时拦截注入、越权等攻击,精准识别异常访问,防止敏感数据外泄,提供可视化风险报表,为企业API生态构建可靠安全屏障,保障接口通信安全。
立即咨询
数字化产品网络安全盛邦安全API安全防护系统
iconAPI安全现状分析icon
API相关政策、事件
网信办发文要求
网信办对APP、API、小程序、数据有强监管要求多省已下发“API风险评估与审计的发文”
护网演习规则
21年下半年的攻防演习中,攻方集中的针对API接口22年国家级护网中,API安全相关内容明确写入评分规则中
数字化转型趋势
典型的互联网企业、电商平台等有大量对外的API 传统行业的数字化转型使业务有了大量对外的API
数据泄露事件
2020年,微博某APP业务逻辑API被非法调用导致3.5亿数据泄露 2021年,Facebook业务接口泄露导致5亿用户数据泄露
需要重点关注的API
各种APP、小程序向后的服务调用
各类微服务、数据中台中的数据调取
各大平台、系统组件间的集成对接
API安全现状
权限管控不细
数据暴露过大
专项防护不

 

 

iconAPI安全问题诱因icon
API缺乏统一标准规范
虽然拥有数据格式标准,如json和xml封装API交换数据,但API的编码没有统一标准
API的生命周期管理缺失
软件开发过程是敏捷和持续的,软件版本的生命周期管理和API的生命周期管理一直是关注度最少的环节
安全编码规范和意识不足
开发人员对安全领域涉及较少,在缺失安全编码规范的指导下,人员安全意识和安全编码能力不足
业务部门存在孤岛效应
不同的产品和开发团队也会因为其所采用的方式不同,信息传递不及时,容易形成 API孤岛

 

 

iconAPI安全治理思路icon
常见问题
API使用权限未严格限制,允许弱密码登录等
敏感数据过度暴露,URL直接传输账号密码或其他凭证
错误提示暴露过多信息,攻击者容易获取可利用情报
痛点分析
设备台账、系统明细、网络服务等有办法梳理,API资产不清且无从下手,暴露面风险隐患难消除
API开发时关注功能实现,较少考虑场景,权限过高、限制不足导致受攻击、非法调用和高频滥用的情况非常普遍
API本身就是用来对外交互并提供数据的,无法简单粗暴的隐藏起来,因此对用户而言管理压力大,防护难度大
解决方案
遵循资产安全治理思路, 从“摸清家底”出发, 先理清API,再针对防护
核心价值
能够帮助用户理清所有API资产,分级分类画像并形成完整清单。
能够帮助用户收紧API访问权限,细化使用限制,保护业务可用性
能够帮助用户发现API漏洞利用行为,实时阻断攻击,及时应急处置

 

 

iconAPI安全防护系统整体介绍icon

API安全防护系统通过对访问流量进行分析,自动发现流量中的API接口,帮助用户快速梳理环境中未知API资产,并基于未知和已知API资产构建API资产画像;通过API资产画像,快速了解到API资产的访问行为以及存在的异常情况,针对性地进行安全防护和一键下线等操作,构建API全生命周期安全防护方案

 

 

 

iconAPI安全防护系统技术路线icon
 
技术路线
围绕OWASP API TOP10,结合防护引擎,从应用安全切入API安全(围绕OWASP API TOP10)
采用资产治理思路,从资产摸底的角度细化API梳理画像和审计能力(遵循资产治理“五步法”思理)
结合重点的行业场景需求,做特定的业务模型和数据分类(针对特定场景做针对性设计)

 

 

iconAPI资产识别与梳理icon

针对业务流量进行采集、建模数据分析全面识别未知API、临时API、历史遗留API等。

 

 

 

iconAPI资产识别与梳理icon

针对流量解析学习,基于特征提取API资产,并通过静态资源匹配过滤非API资产 

设定学习深度及智能归并条件,剔除重复的噪音数据

 

 

 

iconAPI资产画像与管理icon

采用标签化的管理方式,通过全方位、多维度的画像展现,直观监控接口活跃态势、健康状态及安全趋势,对疑似失活或异常高频请求的API接口进行分析预警

 

 

 

iconAPI资产画像与管理icon
失活API(活跃系统中存在非活跃接口)
偶尔有访问
整体访问次数偏低,活跃度低
异常高频调用(平稳运行的接口偶现大量访问)
某个时间段访问量激增
正常访问较少,异常调用偏多

 

 

 

iconAPI攻击检测与防护icon
智能算法
通过机器学习算法训练攻击检测模型,在运行过程中持续理解优化,不断提升准确性
语义分析
在理解正常业务逻辑的基础上,利用语义分析上下文会话,找到可疑流量并做识别
规则检测
对访问会话的关键位置进行检查,利用海量积累的规则库进行特征匹配,识别攻击

 

 

iconAPI攻击检测与防护icon
多引擎检测(特征+语义算法+AI训练)
根据攻击类型智能调度检测引擎
根据防护强度手动指定检测引擎
自定义规则(针对0day漏洞快速响应)
支持灵活的正则表达式
支持丰富的检查点配置

 

 

iconAPI数据识别与保护icon
敏感词
用户自定义敏感信息 预设暴力、反动、广告类型词库
个人隐私信息
身份证、邮箱、银行卡、信用卡、手机号码
弱口令防护
内置字典 自定义字典
敏感信息保护
通过对系统敏感信息做隐藏或过滤处理,防止攻击者获取可利用信息; 通过对个人隐私信息进行处理,防止信息泄露
敏感词统计处理
通过预设或自定义添加的敏感词库对发布内容进行检测识别,拦截非法、违规等敏感信息
弱口令防护
通过预设或自定义添加的弱口令字段对请求内容进行检测识别,防止暴力破解行为

 

 

iconAPI数据识别与保护icon
敏感词检测防护(非法、受控)
接口提交内容检测拦截
接口返回内容识别过滤
隐私信息识别保护(涉敏、涉密)
敏感信息泄露统计
隐私信息识别保护
弱口令检测防护(简单重复口令)
弱口令请求检测拦截
口令破解攻击防护

 

 

iconAPI权限加固与保护icon
API滥用
API滥用是指异常的接口调用,如用工具频繁访问API达到刷单、薅羊毛、暴力破解、DDoS等攻击目的
API盗用
API盗用是指冒用身份擅自调用他人API,达到非法获取敏感数据或非法执行管理员操作等攻击目的
API越权
API越权是指在未授权情况下访问API接口,如接口未授权或授权失效,使得攻击者执行水平或垂直越权

 

 

iconAPI权限加固与保护icon
权限加固(滥用防护+盗用防护)
识别未授权访问并设定白名单策略
设定灵活的限速策略以加固宽松的API条件
BOT防护(防暴破+人机识别)
利用令牌加限速相结合的策略防暴力破解
利用反向合法性校验识别并阻拦BOT攻击

 

 

 

iconAPI应急处置icon

API安全防护系统简化策略可在突发紧急情况下,以最快速和最直接的方式,来实现API资产一键下线与上线恢复: (1)系统级一键上下线; (2)API接口级一键上下线; (3)基于条件的API访问控制

 

 

iconAPI安全审计icon

全面审计:支持对访问资产的客户端、源IP、源地域;支持对请求时间、域名、目的IP、目的端口等信息进行审计;支持对请求详情、请求头、请求体、响应进行审计

 

 

 

iconAPI态势监控icon
 
API资产总体状况
API详细访问日历
API攻击类型统计

 

 

iconAPI安全监测icon
 
 
API安全防护系统(RayAPI)采用镜像模式部署,具有以下优点: 
应用无感知,只需在网络设备上配置流量镜像,API应用服务器没有任何感知 ;不占用服务器自身的计算资源,避免影响服务器正常运作

 

 

iconAPI安全防护icon
 
API安全防护系统(RayAPI)采用代理模式部署于受保护的网站之前,具有以下优点: 
易于部署,不会因为服务器环境的不同,而有兼容性或无法部署的问题;不占用网页服务器自身的计算资源,避免影响服务器正常运作;无需改变客户网络架构,保证客户网络架构的稳定性

 

 

icon主要应用场景icon
数据保护
在数据全生命周期安全中,API调用环节的防护已经成为标配能力组件
攻防保障
常规入口已经很难攻破的情况下,将API作为突破口的攻防会成为常态。
业务保护
除互联网、金融等领域外,物流、电商、工商等也有迫切的API保护需求
新基建
智慧园区、智慧医疗、智能加油站等新型基础设施的建设中会产生大量API接口,安全需要配套建设
 

 

 

icon典型事件案例icon

 

 

 

icon典型部署案例icon

 

 

 

产品推荐

契胜零售行业全员带货解决方案
契胜零售行业全员带货解决方案,集成推客分销商城系统、会员营销管理系统及企微社群私域运营软件功能。依托特色商品与佣金机制,通过多触点传播实现精准销售,助力零售企业激活全员带货潜力,提升销售效能。
免费试用
查看详情
天空卫士云安全服务平台
天空卫士云安全服务平台是一种基于云的数据安全解决方案,企业和组织可以灵活选择搭配各种数据安全服务,对其数据和应用进行保护,以满足以下业务需求在统一的视图中实时监控企业数据资产分布及潜在风险,企业数据安全状况一目了然;集成数据管理能力,保证企业 IT 系统上云以后,仍然能满足合规要求;提供包括敏感内容识别、数据分类分级等安全选项, 保护云端数据安全;监控云端数据,并预判潜在威胁,提前加以防范。
免费试用
查看详情
泛微·数智大脑Xiaoe.AI
泛微的数智大脑Xiaoe.AI,基于大模型技术构建而成的一款智能化应用底座,它能够将海量的数据、信息、文档全部纳入其中,并通过深度学习和训练,可以完成:智能的文本内容处理、数据智能转化、多模理解、智能信息检索、智能图像识别、业务自动化RPA、智能数据推理分析,让软件理解人的意图,让软件处理重复性工作,用语音就能操作软件,为组织的每一位成员提供7*24小时的智能助手,让“管理·业务·财务”数智化运营,助力组织的数字化转型和智能化升级。
免费试用
查看详情
琮信政企车务管理平台
琮信政企车务管理平台,包含首页、车辆调度、费用管理、统计报表、车辆运维、后台管理,六大功能模块,用解决政府、企业用车调度难、用车费用不透明、驾驶员驾驶行驶不规范、车辆维护管理不及时、公车私用等情况,实现政企用车的数字化管理。
免费试用
查看详情