4月18日，國(guó)內(nèi)數(shù)字產(chǎn)業(yè)第三方調(diào)研咨詢機(jī)構(gòu)數(shù)世咨詢正式發(fā)布《API安全市場(chǎng)指南報(bào)告》（以下簡(jiǎn)稱《報(bào)告》），從應(yīng)用創(chuàng)新力與市場(chǎng)執(zhí)行力兩大維度展現(xiàn)API安全廠商市場(chǎng)能力，并對(duì)API安全概念、能力企業(yè)、市場(chǎng)概況、需求分析、未來(lái)發(fā)展趨勢(shì)等角度進(jìn)行了梳理與描述，供業(yè)內(nèi)人士參考。

芯盾時(shí)代憑借在API安全市場(chǎng)領(lǐng)先的產(chǎn)品技術(shù)實(shí)力、優(yōu)秀的市場(chǎng)表現(xiàn)，成功入選《報(bào)告》，被評(píng)選為綜合業(yè)務(wù)廠商中的API安全代表廠商。

API安全最大挑戰(zhàn)：API資產(chǎn)的發(fā)現(xiàn)與識(shí)別

在市場(chǎng)層面，《報(bào)告》認(rèn)為API安全在國(guó)內(nèi)市場(chǎng)屬于新興市場(chǎng)，仍處于發(fā)展初期。2023年API安全市場(chǎng)規(guī)模約在6.5億元，預(yù)計(jì)2024年API市場(chǎng)規(guī)模預(yù)計(jì)達(dá)到10億元左右，未來(lái)增長(zhǎng)潛力巨大。API安全行業(yè)需求主要集中在政府部委、運(yùn)營(yíng)商、金融、互聯(lián)網(wǎng)企業(yè)、電力五大行業(yè)，可見(jiàn)政府和涉及重要基礎(chǔ)設(shè)施的行業(yè)對(duì)API安全需求和投入更為顯著，特別是在HW、重保、攻防演練等場(chǎng)景中，API已經(jīng)成為重要的攻擊目標(biāo)。因此，API安全在保障數(shù)據(jù)和服務(wù)的安全方面具有至關(guān)重要的作用。

《報(bào)告》指出，API安全的關(guān)鍵能力包括API資產(chǎn)發(fā)現(xiàn)與管理、攻擊防護(hù)、數(shù)據(jù)安全和隱私管理、智能分析等。其中，API資產(chǎn)發(fā)現(xiàn)與管理是API安全的最大挑戰(zhàn)，而如何做好自動(dòng)阻斷功能，已成為業(yè)界共同關(guān)注的焦點(diǎn)。數(shù)據(jù)安全是API安全最大的應(yīng)用場(chǎng)景，除此之外，組織采購(gòu)點(diǎn)需要主要集中在API資產(chǎn)發(fā)現(xiàn)與管理、風(fēng)險(xiǎn)監(jiān)測(cè)、合規(guī)、訪問(wèn)控制、權(quán)限管理等方面。

芯盾時(shí)代API安全監(jiān)測(cè)平臺(tái)

芯盾時(shí)代作為領(lǐng)先的零信任業(yè)務(wù)安全產(chǎn)品方案提供商，以AI技術(shù)賦能API安全，基于對(duì)企業(yè)API安全需求的深刻理解與對(duì)API安全威脅的前沿研究，打造了API安全監(jiān)測(cè)平臺(tái)，幫助企業(yè)建立資產(chǎn)摸得清、漏洞看得透、攻擊測(cè)得出、數(shù)據(jù)攔得住的API風(fēng)險(xiǎn)監(jiān)測(cè)體系，保障企業(yè)業(yè)務(wù)系統(tǒng)的安全和穩(wěn)定運(yùn)行。

芯盾時(shí)代API安全監(jiān)測(cè)平臺(tái)，具備以下功能：

1.API資產(chǎn)梳理

芯盾時(shí)代API安全監(jiān)測(cè)平臺(tái)能夠基于結(jié)合機(jī)器學(xué)習(xí)的API流量基線與自主研發(fā)的API分類引擎，自動(dòng)持續(xù)發(fā)現(xiàn)API資產(chǎn)，以功能、應(yīng)用等多種維度聚合同類API，形成分類明確、路徑清晰的API資產(chǎn)樹(shù)。平臺(tái)支持多文件導(dǎo)入，便于新應(yīng)用、新版本API資源的快速上傳，與API自動(dòng)發(fā)現(xiàn)形成互補(bǔ)，讓企業(yè)的API資產(chǎn)管理無(wú)死角。

平臺(tái)基于流量分析構(gòu)建API資產(chǎn)畫像，從全局API資產(chǎn)、應(yīng)用API信息、單個(gè)API三種粒度，以可視化的方式展現(xiàn)各種API信息，為企業(yè)建立“全局可視、單點(diǎn)清晰”的API資產(chǎn)管理體系。

2.API脆弱性分析

芯盾時(shí)代提供主動(dòng)人工檢測(cè)漏洞和被動(dòng)流量脆弱性分析兩種方式。針對(duì)實(shí)時(shí)流量中存在的異常行為，API安全監(jiān)測(cè)平臺(tái)提供豐富的樣本庫(kù)，自動(dòng)分析和發(fā)現(xiàn)系統(tǒng)中存在的脆弱性問(wèn)題。同時(shí)，芯盾時(shí)代提供人工滲透測(cè)試，對(duì)API存在的越權(quán)、注入、失速和敏感數(shù)據(jù)暴露等漏洞進(jìn)行檢測(cè)，幫助企業(yè)建立動(dòng)態(tài)API安全防線。

3.API攻擊監(jiān)測(cè)

API安全監(jiān)測(cè)平臺(tái)能夠?qū)崟r(shí)監(jiān)控API訪問(wèn)情況，分析數(shù)據(jù)流量，通過(guò)內(nèi)置的API威脅模型識(shí)別賬號(hào)暴力破解、未授權(quán)訪問(wèn)等風(fēng)險(xiǎn)行為，通過(guò)機(jī)器學(xué)習(xí)技術(shù)對(duì)攻擊進(jìn)行建模、學(xué)習(xí)，持續(xù)擴(kuò)展攻擊檢測(cè)能力，智能識(shí)別新型攻擊。安全人員可借助平臺(tái)對(duì)攻擊進(jìn)行分析、溯源，實(shí)現(xiàn)對(duì)API風(fēng)險(xiǎn)行為的全生命周期管理。

4.敏感數(shù)據(jù)感知

芯盾時(shí)代API安全監(jiān)測(cè)平臺(tái)內(nèi)置敏感數(shù)據(jù)檢測(cè)引擎，覆蓋姓名、手機(jī)號(hào)、身份證號(hào)、銀行卡號(hào)等敏感數(shù)據(jù)類型。安全人員可自定義敏感數(shù)據(jù)識(shí)別規(guī)則，實(shí)時(shí)洞察API接口中雙向傳輸?shù)拿舾袛?shù)據(jù)，并針對(duì)命中風(fēng)險(xiǎn)事件的IP、賬號(hào)，進(jìn)行主路實(shí)時(shí)阻斷。平臺(tái)支持對(duì)敏感事件的訪問(wèn)取證，安全人員可對(duì)敏感數(shù)據(jù)進(jìn)行追蹤溯源。

有了芯盾時(shí)代API安全監(jiān)測(cè)平臺(tái)，企業(yè)的API管理更規(guī)范、更智能、更高效，能夠及時(shí)發(fā)現(xiàn)和處理潛在的API安全和數(shù)據(jù)安全問(wèn)題，為建立全面的API安全防護(hù)體系奠定基礎(chǔ)。