网络安全|以AI行为分析技术切入全面管控数字时代的API安全风险( 二 ) 网络安全

她介绍，从瑞数信息自身接触客户的情况来看，相比三年前，很多企业用户都已经提高了对API安全的重视程度，能够清晰地知道要做API的安全。在API方面用户主要面临两大问题，第一是对自身API资产情况并不掌握，不知道自己有多少API ，不知道其中有多少个僵尸API、多少个未授权的API；第二是攻击者利用自动化手段在合法授权下针对API发起的攻击日益增多，但企业却不知道自己具体存在哪些API安全缺陷，如何组织起有效防线。
但事实上，尽管很多企业都已经意识到要做，但具体到怎么做的问题上，企业界仍然不是很清晰。在安全业界，各家安全厂商也在发布自己的API安全产品和解决方案，但企业用户们也存在自身不同的安全需求，仍然在观察和观望，探索和实践中。
传统API安全方案的局限性逐渐显现
据马蔚彦介绍，在过去，企业解决API安全问题主要依赖API网关和WAF两类产品， API网关主要用于解决访问控制和身份鉴权，来避免API接口被非法调用。 WAF则主要通过规则的方式来发现流量中的恶意访问行为，通过寻找已知风险因子来避免威胁事件的发生。在API的数量级还没有爆炸式增长的时候，基于网关和WAF的防护手段是简单高效的，精细的访问控制规则能够将绝大多数的风险排除在企业边界之外。
但随着IT环境的开放， API的数量和分布都呈指数型增长， API协议的多样性， API可公开获取、与业务相对强的关联性等特点，以及在微服务架构下API的快速迭代和变化，让传统的API安全方案面临很大的挑战，让部署在边界上的网关形同虚设，基于规则的传统WAF防护技术、API网关的身份认证和鉴权技术，已经无法满足现有对于API接口被滥用、越权访问、僵尸API、信息泄漏等安全问题的防护需求。
与此同时，攻击者的攻击手段也在进化。攻击者正在利用多种手段尝试发现和滥用API ，利用尚未被管理起来的僵尸API发起复杂的攻击，并利用自动化手段攻击API ，寻找企业业务缺陷。
因此，面对更复杂的攻击方式，企业也需要一个能够真实阻断API安全风险的更优解。
瑞数信息：以AI行为分析技术作为解决API安全的基础
马蔚彦谈到，考虑到当前复杂的API安全形势，公司也基于自身技术优势，提出了新一代基于动态技术、Bots识别、行为分析的API融合防护体系，以期助力企业用户实现对API资源的安全管理和调用。
有别于很多从API安全网关的访问控制角度切入的安全厂商，瑞数信息以AI人工智能为支撑的行为分析技术作为突破口，推出一种新兴API融合防护方案——瑞数API安全管控平台(API BotDefender) ，集成了API资产发现、攻击检测、参数合规检测、行为检测、敏感数据识别、异常行为拦截处置等功能，覆盖了从资产发现到拦截处置的全链条。
她表示，相较于传统API安全方案，瑞数API安全管控平台(API BotDefender)着重强调API相关威胁的识别能力和防护能力的提升，以行为分析为基础更细粒度、更准确地识别风险，实现从API接入客户端到API服务器端的全程式API安全威胁防护。

图：瑞数信息API安全管控平台
在技术路线上，瑞数信息的API安全解决方案的核心竞争力表现在两个方面，其一是以AI人工智能为支撑的智能行为分析技术，其二是覆盖整个API安全的动态安全技术。
具体来讲，其智能行为分析技术融合了大数据分析、语义分析等多维度的分析技术，能够在用户与应用程序交互的过程中收集数据，并利用统计模型来持续监控并识别恶意行为，检测到异常请求，并对安全威胁进行实时感知。

网络安全|以AI行为分析技术切入 全面管控数字时代的API安全风险( 二 )

网络安全|以AI行为分析技术切入全面管控数字时代的API安全风险( 二 )