网络安全|以AI行为分析技术切入全面管控数字时代的API安全风险( 三 ) 网络安全

瑞数API安全管控平台(API BotDefender)通过建立多维度访问基线和API威胁建模，对API接口的访问行为进行监控和分析。一方面，监控基线偏离状况，针对高频情况等进行防护，防止高频情况等造成的API性能瓶颈；另一方面，高效识别异常访问行为，避免恶意访问造成的业务损失。
针对API参数调用更加复杂的特性，瑞数信息还在API管控平台中加入了自学习的机制，以此来进一步实现对API请求参数进行合规管控，对不符合规范的请求参数实时管控。
其动态安全技术的优势则主要体现在可编程对抗的动态响应防护层面，因为API安全与应用安全也存在一定差异，在应用安全领域防御者可以直接阻断攻击行为，但在API的场景下，每一次的阻断的对象是服务地调用行为，如果对业务功能的调用进行拦截，势必会导致功能的不可用性。而具备动态响应防护能力的瑞数API安全管控平台，能够采取更细粒度的响应动作，可根据行为分析的结果或指定条件，进行动态响应防护，提升通过逆向探测或机器学习分析等攻击手段的难度。
据悉，除了API攻击防护外，在敏感数据管控的场景下，瑞数信息API安全管控平台也同样具备自身的优势。马蔚彦表示，在打造该平台期间，研发团队将敏感数据的内容识别性能作为一个重点方向，并在其中投入了大量工作。目前，该平台在如手机号、银行卡号、身份证号等的敏感数据的识别效率能够超出业界平均水平十倍左右。此外，该平台还能够针对敏感数据进行脱敏或实时拦截，规避数据泄露风险。
据她透露，瑞数信息正在积极参与多个行业的API安全标准的制定和研讨，尤其在API的敏感数据识别方面，将是公司未来重点发力的方向之一。
API安全仍处于发展初期国内厂商弯道超车不无希望
作为当前API安全赛道中的代表性厂商，瑞数信息如何看待当前API安全的发展阶段？围绕未来API安全的发展方向的话题我们也请马蔚彦分享了自己的观点。
在她看来，从整体的市场环境来看，当前API安全的整体发展已经走过了从无意识到有意识，正在从有意识到体系化建设的阶段。 “我们看到部分走在前面的行业，包括金融行业、运营商行业的用户已经开始系统地考虑API安全建设，而不是单点性的覆盖。很多企业在考虑建设自己的数据安全体系以及应用安全体系的时候，就已经会将API作为整体的一部分统一纳入考虑采购的范畴。也是在他们的牵头推动下，相应的安全建设规范、标准也都在筹备当中。走在后面一些的行业也一定会追随这样的一个安全趋势，加紧API安全建设的步伐。 ”
而从技术的角度上， API安全的技术也处在一个发展初期。包括做API安全网关的厂商、云原生安全厂商，以及行业各个安全领域的厂商，都在探索未来API安全发展方向，提出不同角度的解决方案，无论是数据安全还是应用安全，相关的技术手段处在一个不断丰富的过程中。
马蔚彦表示，不管是对于客户还是对于安全厂商来说，现在都是一个非常好的机会期。在客户侧还存在很多包括需求、规划、标准等值得探讨的地方。对于厂商来说，在客户的需求推动下，厂商的技术手段也会逐渐打磨地更加成熟，这是一个双方互利互相推动的良好发展阶段，可以预测到未来几年，市场上提供的API安全产品必然会更加成熟。
从Gartner的技术成熟度曲线图中， API安全目前处于峰值偏下的区间中，距离成熟期尚有一段距离。这也说明，国外的相关厂商可能会比国内的成熟一些，但国内信息技术领域的优势也十分明显，虽然起步相对晚一些，但在API安全领域实现弯道超车，快速的走到国际领先水平仍大有希望。

网络安全|以AI行为分析技术切入 全面管控数字时代的API安全风险( 三 )

网络安全|以AI行为分析技术切入全面管控数字时代的API安全风险( 三 )