API数据安全网关

产品描述

        数炼科技API数据安全网关提供强大的API保护能力，提供完整的API生命周期管理及API安全管理能力，帮助企业实现API的安全管控，支持多种安全

保护机制，提供API熔断、配额管理、身份认证，可替代传统API网关，并提供大量数据安全组件实现基于数据的保护机制，也可接入青笠API监测平台，实

现强大的API使用可视化，并提供多种统计及分险风险。

API资产梳理

• 快、准、全地梳理API资产：系统接上一周内即可完成全量API资产梳理，不仅覆盖传统的API格式，当前流行的Restful，When-caseAPI也支持自动化识别。

• API资产自动分类分级：自动识别API中包含的敏感数据，并基于API中的敏感数据、原始请求和返回格式等对API进行分类分级。

数据安全合规

• API作为个人信息在采集、使用、共享等流动场景的主要形式，管理不当易引发法律合规风险。

• API是传输数据和连接服务的重要通道，大量敏感数据信息通过API直接暴露在开放的网络环境中，如果存在API漏洞将引发严重的数据泄露。

• 信息化建设和业务系统的变更使得企业出现未知的影子API，成为安全管理的薄弱点，进而被黑灰产攻击者利用。

API风险隐患检测

• 对API进行脆弱性评估，基于API的参数形态，原始请求和返回来自动识别API脆弱性,提供脆弱性样例和整改建议，帮助企业对API安全进行整改，能够完善覆盖Owasp API Security 10的检测。

风险行为监控

• 识别恶意攻击行为：通过大量的无监督学习算法，主动对API接口进行攻击学习，识别API扫描、试探等攻击风险。

• 发现黑灰产数据窃取行为：内置大量基于上下文的数据行为风险规则，主动进行风险的上下文分析，帮助客户精准定位数据泄露源头，发现有价值的数据泄露风险。

需求场景

• API数据安全监测场景

        随着API的广泛应用，企业价值链全面数字化进程加速。然而，由于应用系统敏捷迭代过程中忽略了安全性，或者管理缺失，企业面临着资产梳不清晰、数据流动不了解、异常风险不可知、安全事件难溯源等安全风险。因此，企业需要采取有效的措施，加强API安全管理，以确保资产的安全性和可控性。

• 基于流量协议解析技术实现对业务访问行为进行精细化还原，提供以下能力：

• 应用资产梳理

• API资产梳理

• 应用账号梳理

• 敏感数据梳理

• 涉敏资产梳理

• 分类分级打标

• 数据透出监测

• 接口透视分析

• API脆弱性检测

• 业务风险监测

• 账户风险监测

• 数据访问风险监测

• 访问行为审计

• 原始报文记录

• 风险实时告警

• 风险快速下钻

• 报表环比分析

• 数据外发同步

应用价值

• 精准稽查敏感数据

对于业务系统中传递的敏感数据，系统对于未经加密直接传输的敏感信息进行精准告警，并记录相关信息的传输途径和位置，方便用户对应用系统的安全性进行完善。

• 实时监测应用安全

全面记录黑客在攻击前和攻击中对Web服务器执行的所有操作和服务器返回结果并还原攻击场景，有效协助用户分析攻击的前因后果，及时发现Web应用的脆弱性。

• 有效规避泄漏风险

通过强化对关键系统的审计，及时发现异常的API的接口，提前做好相关接口的防护，减少核心数据泄漏的风险。