数字化业务高速发展下,企业接口数量激增、影子 API 泛滥,面临接口越权访问、恶意攻击、敏感数据泄露、接口滥用及合规审计缺失等多重安全痛点,传统防护难以覆盖全链路 API 风险管控需求。 本应用 API 安全审计系统,采用旁路无感部署,无需改造现有业务架构。具备全域 API 资产自动盘点能力,精准梳理业务接口、影子及僵尸接口;深度解析接口流量,覆盖 OWASP API 高危风险,智能识别异常访问、越权调用、注入攻击等行为。支持敏感数据流转监测、接口行为全程记录与日志留存,实现安全事件实时告警、风险溯源追责。 同时满足等保及数据安全合规要求,构建资产可视、风险可防、行为可审、全程可溯的 API 安全闭环,全方位守护企业应用接口与核心数据安全。
通过网络流量,自动识别API资产。可按照域名、应用、IP等对API资产进行梳理。基于机器学习对登录、上传、下载、支付、新增、更新、删除、查询等不同API接口进行自动分类。基于API资产台账,识别影子API、僵尸API以及涉敏API,生成资产画像。建立应用间调用关系图,构建应用访问关系可视化。
支持API注册功能,可创建和定义API,包括API的名称描述、版本、请求和响应参数、访问权限等信息的配置。支持API Mocke测试功能,能够模拟出各种预期的API响应结果,在后端接口未完成开发时,进行前端的页面调试发现程序中的安全缺陷,提高软件质量。 支持将定义好的API发布到生产环境,也可以撤回已发布的API,进行修复或更新。支持API订阅功能,可根据部门、项目组对项目进行管理,支持按角色进行权限分配。当API消费者订阅成功后,提供访问令牌进行访问,并提供API鉴权能力。
集成多种Payload(攻击脚本库),结合Fuzzing(模糊测试),对API风险主动探测,实现对API风险的预判。通过流量分析,验证API访问,得出API脆弱性问题。智能分析主动探测和流量分析结果,达到API检测效果的互补,实现对API风险精准告警。
提供API威胁情报分析能力,结合威胁情报对安全事件进行精确检测,及时发现黑产组织针对企业的攻击。API威胁情报能力可帮助企业了解新的威胁动态,实施积极主动的威胁防御和快速响应策略,结合安全数据的深度分析全面掌握安全威胁态势,并准确地进行威胁追踪和攻击溯源。基于客户业务提供泄露事件监测,通过互联网信息搜集为客户提供包括但不限于源代码泄露、敏感信息泄露。
平台内置多种攻击特征识别能力,针对具有攻击特征的API请求,通过多次检测的方式,层层递进发现攻击行为。平台支持多种机器学习模型,通过模型训练及时发现针对API的新型攻击手法,如越权攻击、未授权访问、逻辑漏洞等,弥补传统基于规则防护设备的不足。平台采用云原生分布式系统架构设计,实时分析流量中的行为数据,在攻防演练中可对威胁事件及时响应,提高风险预警能力。
异常行为分为业务风险和安全事件,业务风险基于行业模板、机器学习和自定义模型,结合行为基线识别业务潜在威胁。平台内置暴力破解、高频撞库、BOT攻击、弱密码登录等模型,识别安全事件。通过AI算法,结合行为基线,定位攻击源,明确异常行为。
支持敏感数据自动发现,可根据文件、数据库、WEB站点等发现数据资产相关存储单元,并发现相关要素。支持自动化的数据分类分级,根据各行业的业务数据特性,提供行业数据分类分级模板,并支持自定义分类分级规则和模板。可根据数据分类分级结果输出数据资产分类分级报告。利用总体扫描与抽样扫描相结合,实现海量数据资产的高效梳理,实现高效检测。
数据安全分析功能可以对API请求和响应中的数据进行深入分析和检测,以确保API传输过程中数据的安全性和隐私性。通过对数据泄露事件的监控,可对传输敏感数据的API进行定位,从而发现API脆弱性。平台支持数据流转可视化功能,从数据源头到访问者实现全流程监控与分析,可对应用与应用、数据库与应用、客户端与应用、客户端与数据库等角度进行数据安全态势分析。
支持多环境API自动发现、聚合拆分,基于流量动态更新资产台账,记录关键信息并实现应用调用与数据流转可视化。
集成攻击脚本库与模糊测试,主动扫描API各类安全漏洞,输出威胁报告及修补建议,助力集团、监管机构开展监督检查。
事前收敛公网暴露面,事中精准检测各类API威胁,事后提供日志记录与溯源分析,为攻防复盘、反制提供支撑。
构建安全可视化组件,强化API安全风险感知、合规监测与审计溯源,对接既有组件,建立全场景数据安全态势体系。
通过数据标签、关联分析等手段,梳理完整数据调用链,全面分析API调用内容与关系,补足数据安全态势分析能力。
无侵入式接入微服务,按Pod和容器配置扩缩容策略,自动获取API资产与调用链路,精准定位异常API行为。
凭借资产梳理、管控、异常分析等能力,防范API滥用、数据泄露等风险,为开放银行API安全提供全方位保护。
留存请求响应日志与PCAP包,支持多存储模式满足合规要求,通过算法精准识别非法调用与攻击行为,助力风险回溯。
