令集团头疼的“api 数据安全保护难题”
某集团作为中国汽车产业的领军企业,一直以来在产销规模和市场份额上占据领先地位。该集团的核心业务高度依赖api进行数据处理和交互。然而,由于缺乏有效的监测手段,api调用和流转过程中的数据安全责任难以落实,导致敏感数据容易泄露,对集团的形象和信誉造成不可逆的损害。
该集团在数据安全建设过程中面临以下建设难点:
1. api数量激增导致管理困难:仅集团内部对外暴露的 api 数量就达到了 2w ,缺乏有效的手段梳理 api 资产清单,存在存量资产管理不当的安全隐患。
2. api 存在可被利用的脆弱性:在对 api 资产无法理楚的情况下,更无法感知对外暴露的 api 是否存在可被利用的脆弱性风险。
3. api 数据泄露风险无感知:未对api 调用行为进行监测和预警异常的调用 api 行为,无法及时发现是否有泄密、爬取的风险行为。
安恒 api 安全解决之道
要确保api的安全,必须先解决api资产管理的问题。api资产管理是指管理api资源和相关数据的过程,在实际应用中,由于api数量的增加和复杂性的提高,api资产管理变得越来越困难。安恒信息的api风险监测系统是一款集简单易用、风险监测准确、场景覆盖全面、资产运营高效、数据操作全面留痕于一身的api数据安全产品。该产品通过旁路部署,不侵入业务,轻松实现api 资产动态梳理和 api 风险监测。
该集团对外开放的 api 流量大小达到 20gbps 。通过部署 2 台 api风险监测系统,帮助集团实现“数据资产可管、安全风险可见、api操作全面留痕”:
1. 动态资产梳理:系统共识别到 2000 对外暴露的应用系统、2w api 。并发现疑似下线应用 15 个 、api 378 个。这不仅可以帮助企业更好地理解和管理api资产,也是识别并解决安全问题的重要依据。
2. 智能风险监测:此次系统共识别发现 1900 个 api 存在高危脆弱性风险,发现一起每日 0-2 点黑客暴力破解的攻击行为。系统持续监控api的脆弱性、合规、攻击行为,让企业能够及时了解风险,防范在先,扼杀事件发生的可能。
3. api全流量审计:系统全面留存api审计日志180 天,形成详细的审计日志。这不仅可以在事后帮助查明问题的原因,也使得api的调用更为透明,防止不正当操作和攻击行为。
“先进级” api 安全产品凭什么先进
去年安恒信息api风险监测系统就通过信通院全面测试评估,在 api 资产管理、api 安全监测、api 安全防护、api 审计四大安全模块的成熟度评测中均达到“先进级(最高级)”要求,成为全国首批通过api安全能力评估的产品。让我们来一探究竟,安恒的 api风险监测系统究竟有哪些优势,被评选为首批最高级 api 安全产品。
1. 告警准确:基于多年的数据安全经验积累,风险监测准确度达到 96.4%,以超高的准确率和全面的覆盖度全面领先 api 数据安全市场。
2. 性能优越:采用前沿的流量分析技术和高性能、稳定的产品架构,单产品解析流量大小达到 10gbps。在此次测试过程中,2 台产品即可覆盖客户近 20gbps 的 api 流量。
3. 策略全面:内置100 敏感数据标签、14套数据分类分级模版、10大类脆弱性风险策略、5大类行为风险策略。
4. 场景创新:首创以数据维度风险监测模型,以数据为线索监测安全风险,根据线索自动绘制api风险链路关系,可用于发现 api 二次封装、核心数据监测等场景。
随着api在企业中的重要性不断提升,api 资产安全管理成为确保企业核心业务安全可靠的关键。通过采用安恒信息的api风险监测系统,能够有效提升 api 数据资产管理能力,持续发现 api 脆弱性、数据泄漏风险,确保企业在数字化转型过程中的数据安全。
