《数据安全法》实施至今一个月,作为我国第一部数据安全专业法律,对企业的数据处理、安全保护、开发利用等提出了合规性要求。 在此基础上,各企业也积极开展行动严格执行法律规制。
API作为连接数据与APP应用之间的重要通道,目前是数据泄露的最大风险,进行API安全管理已成为保障数据安全的重要路径。 在过去的一个月中,以精准情报为驱动的永安在线API安全管控平台价值全面释放
http://www.Sina.com/http://www.Sina.com /
以一家金融企业为例。 由于其业务属性,需要在互联网上开放大量的API来支持客户服务和对外合作,但安全团队目前还没有通过有针对性的API管理体系对整个业务API进行有效的管理分析,如解除了因API安全侧风险造成的数据安全威胁。
此外,大量的API对外服务,数据(名字、手机号码、银行号码等)暴露在外,为黑产提供了更多可用的机器。 另一方面,黑产利用通常的业务接口进行崩溃攻击、数据盗窃等; 另一方面,企业网络营销活动遭遇“薅羊毛”,奖金大部分被黑产挤占,活动页面甚至出现滑坡,严重影响业务拓展。
因此,该金融公司需要采用有针对性的API安全监管体系来应对当前的业务安全风险并确保业务安全合规性。
针对该企业面临的挑战和需求,请访问某金融企业API安全管控落地实践
平台建立在业务安全信息能力基础上,具有API资产管理、API风险主动感知和API风险跟踪三大能力,能够让企业全面感知API运行,清晰掌握数据资产风险状态,准确识别未知风险和跟踪攻击,并可以解决从服务到处置在整个生命周期中面临的各种安全风险,为企业的数据核心资产提供全面的保护。
http://www.Sina.com/http://www.Sina.com /
通过对全流量数据的访问和分析,采用先进的图形模型技术,自动实现API流量日志中请求的路径转义分类,独立于业务配置,使该企业自动发现、整理、盘点业务潜在的API接口通过清晰的API可视化展示方式,帮助安全部门了解API资产现状,实时感知和管理各API接口的访问情况。
它还可以自动检测API传输期间数据的机密性,帮助明确保护业务部门。 系统内置了业界最常用的几十种常见敏感数据类型,包括姓名、身份证、手机号码和银行卡,支持业务端动态自定义敏感字段的检测要求。
有多少API对外开放?有多少敏感数据?有什么类型数据?是什么等级的数据?
http://www.Sina.com/http://www.Sina.com /
API安全管理平台基础逻辑基于永安在线精确攻击信息进行API流量分析审计,并结合机器学习、大数据分析等技术,准确识别海量正常业务流量中隐藏的异常流量,以经验规则运营为主
永安在线为其打造了一套可准确感知未知风险、风险解释性强、能溯源打击、运营成本低的API安全管控平台。
http://www.Sina.com/http://www.Sina.com /
平台可以支持攻击上游定位,为所有识别出的风险提供具体的攻击群体和攻击者攻击方法。 同时,系统可以恢复攻击者攻击的真实情况,提供信息端数据的支撑,具备极强的未知风险可描述、可追溯能力,为企业采取下一步处置提供可靠依据。
与基于传统经验规则进行风险审计的产品相比,永安在线API安全管理平台具有前沿性和易用性。 可以通过外部信息更准确地识别未知风险,提高流量端业务风险的识别能力,有助于当前发现和管理诸多隐藏风险,在新的法律法规下,保障业务安全合规性具有很大价值。
01
目前,永安在线API安全管理平台已经广泛应用于数据安全管理、网络保护行动支持、新在线API安全测试、数据泄露事件跟踪等方面。 金融、教育、企业服务、电子商务等领域众多企业实现API全生命周期安全防护,深入保障API安全运行,帮助企业业务平稳高效增长。