近日, 全球权威咨询和调研机构 Gartner 发布《2023 年应用安全技术成熟度曲线》(Hype Cycle for Application Security, 2023), 威胁猎人入选「API 威胁防护」领域代表厂商, 也是本次唯一入选的中国厂商。据了解, 其「情报驱动」的 API 安全创新方案和技术优势起到了关键作用。
近日, 全球权威咨询和调研机构 Gartner 发布《2023 年应用安全技术成熟度曲线》(Hype Cycle for Application Security, 2023), 威胁猎人入选「API 威胁防护」领域代表厂商, 也是本次唯一入选的中国厂商。据了解, 其「情报驱动」的 API 安全创新方案和技术优势起到了关键作用。
技术成熟度曲线是为企业提供评估各领域技术成熟度的典型工具, 也是帮助行业客观判断技术潜力和商业价值的重要依据。《2023 年应用安全技术成熟度曲线》从业务效益、成熟度、市场渗透率等维度评价并分析了当下备受关注的 27 种应用安全技术及服务, 为企业用户判断技术潜力及商业价值提供参考。
为支持数字化转型过程中的信息流通以及各种系统、程序和应用之间的连接,API 在应用架构中变得更加普遍。然而, 这种增长引起了攻击者的更多关注, 使得 API 成为许多系统的主要攻击面。
近些年因 API 安全问题导致的数据泄漏事件频频发生, 可见 API 安全是一个常见但似乎又不为大众熟知的领域。
报告提到,API 威胁防护技术的应用仍存在一些挑战, 例如许多企业组织的 API 缺乏可见性, 导致很多 API 存在于正常流程和控制之外, 容易遭受攻击。
此外, 许多 API 安全问题都与业务逻辑有关,API 安全产品需要了解业务逻辑并识别异常流量, 否则针对业务逻辑威胁的保护很难做到完全自动化。报告中还提到:」金融服务 API 本质上是高价值的, 容易被滥用和欺诈」。
以「情报」构建 API 安全边界
作为中国 API 安全领域的领先者, 威胁猎人很早就关注到 API 安全的问题, 并基于自身在安全领域多年的技术积累和海量攻防实战经验沉淀, 推出国内首个以「情报」能力为基础的 API 安全管控平台。
1. 以 API 资产为中心, 持续、动态梳理 API 资产, 包括及时了解 API 开放数量、API 活跃状态、僵尸 API、影子 API 以及 API 中流动的敏感数据等情况, 并对敏感数据类型进行分级分类, 让企业可以非常清晰、量化地知道自己的 API 资产及其风险。
2. 在 API 资产和数据资产可见的基础之上, 借助「情报」持续跟踪攻击者如何利用新型 API 漏洞进行攻击, 包括业务 API 的逻辑漏洞、开源系统的 API 未授权漏洞等, 及时告警撞库、扫号、数据爬取等攻击风险, 提升风险事件的响应速度。
这一能力正好满足了当下一些基于规则特征的产品无法解决海量小号、秒拨代理 IP 低频攻击等 API 逻辑攻击问题。
据了解, 截至目前, 威胁猎人已为银行、证券、保险、互联网、汽车等多个领域的客户提供 API 安全服务, 充分验证了威胁猎人在 API 安全领域的客户信赖。
来源:中关村网
