瑞数API安全审计系统首发

API资产管理为重点，API安全审计为核心

在“万物皆可API”的时代，通过API快速构建产品和服务、迅速响应客户需求已是数字化企业的必备技能。但同时，API承载着越来越复杂的应用程序逻辑和越来越多敏感数据的特征，也使得API成为黑客攻击的重点目标，导致数据泄露事件频发。

API管控不当导致数据泄露事件频发 企业API安全建设势在必行

• 2023年1月，推特有2.35亿用户个人信息被泄露，其中包括用户的姓名、电子邮件地址、Twitter 手柄、粉丝数量和账户创建日期；
• 美国通信巨头T-Mobile被黑客通过未经授权的API，非法获得3700万用户个人信息；
• 法拉利、宝马、劳斯莱斯、保时捷等20家车企被爆出API安全漏洞，包括解锁、启动和跟踪汽车以及客户个人信息被泄露……

随着API安全造成的影响越来越大，API安全已受到了业界的广泛关注，开放Web应用程序安全项目（OWASP）在2019年就将API列为最受关注的十大安全问题。在今年，OWASP API TOP 10进一步更新了API安全风险，将“不受限访问敏感业务（Bot防护）、服务端请求伪造、API的不安全使用”列为新增的API安全风险。

这些风险很大程度来源于企业API管控不当，即企业不知道自身有多少API被开放，使用是否受控，有怎样的安全风险和隐患，从而使得API变成了企业网络安全薄弱的一环。

目前，我国《网络安全法》《个人信息保护法》《数据安全法》已正式施行，为各行业带来了更大力度的合规监管，这促使企业必须加强API安全建设，保障数据安全。

解决企业API管控乱象  瑞数信息推出全新API安全审计产品

瑞数API安全审计系统（API SecAudit），以API资产管理为重点、API安全审计为核心，帮助企业自动发现API资产、检测API安全攻击、识别API请求中的敏感数据、监测API运行状态、审计API访问行为、识别API应用缺陷，提供丰富的API安全审计报告。

API安全审计系统技术独特性如下：

• 资产发现

支持从Swagger文件、表格等导入API资产，也可以通过对API流量分析，自动发现流量中的网站、端口、API资产和敏感接口等，支持自定义API 接口规则，快速、精准地进行API资产发现、API接口样式提取并提供API接口可视化展示，支持API接口分类、分组并指派责任人，实现数据分权管理。

• 安全检测

支持对OWASP API Security Top10安全攻击的检测，从海量访问中快速发现和定位安全风险事件；通过AI技术实现API参数自学习和调用顺序自学习，满足合规检测要求，内置各种业务威胁模型，快速应对诸如爬虫、撞库等各类业务威胁。

• 行为检测

对API接口的请求、响应、参数和返回值等进行记录和分析，建立API访问基线，识别偏离基线和异常的访问行为，如：高频访问、内网应用访问互联网等；同时，自动识别Bot访问行为，对Bot类型进行分类，更有效地实现访问行为审计，从而及时发现和解决问题，保证API接口的正常访问。

• 数据合规

内置敏感数据检测引擎，覆盖姓名、手机号、身份证、银行卡、密码等上百种敏感数据类型，内置电信和金融行业数据分级，支持敏感数据自动分级，实时洞察API接口中双向传输的敏感数据、明文密码和弱密码等数据泄漏风险，对API接口传输的敏感数据进行记录、分析和审查，以保证敏感数据的安全传输。

• 统计分析

瑞数API安全审计系统内置丰富的API安全报表，底层还提供了大数据分析平台，无需二次开发，根据用户的个性化需求，快速生成报表，所见即所得。

• 联防联控

瑞数API安全审计系统提供了丰富的API接口，同时支持与kafka对接，实现与安全设备的联动，达到联防联控的目的。

助力中国API安全建设 瑞数API安全产品在多行业应用

瑞数信息作为国内首批具备“云原生API安全能力+WAAP能力”认证的专业厂商，连续多年入选Gartner、IDC等全球知名咨询机构评选的中国API领域代表厂商，充分展现了在API领域的强劲技术实力和市场表现。目前，瑞数API安全解决方案已广泛应用在金融、零售、医疗、政府、运营商等多个行业中。此次推出的瑞数API审计系统同样适用于各行业，尤其是有大量API应用，但防护手段单一、迫切需要API安全解决方案的企业。

作为国内最早推出API安全解决方案之一的厂商，瑞数信息于2019年就推出具有API感知、发现、监控、保护能力的API安全解决方案，并形成了瑞数API安全管控平台(API BotDefender)，包括API资产管理、攻击防护、敏感数据管控和访问行为管控四大模块，为API接口提供完整的安全管控方案。如今，瑞数API审计系统正是瑞数API安全系列产品家族中的重要一员。

在API安全日益重要的今天，瑞数API安全审计系统的推出，能够更好地帮助企业应对未知威胁、发现API安全风险和缺陷，保证业务的正常高效运转。未来瑞数信息还将持续创新技术、产品和服务，进一步提升API安全能力，为企业有效抵御新兴威胁、合规建设应用安全和数据安全打下坚实基础。