来源 :绿盟科技2024-09-25
近日,绿盟API安全监测与审计系统(APISec)成功入选国际知名咨询机构Forrester The API Security Software Landscape, Q3 2024 市场报告(以下简称《报告》)。
《报告》指出,API的快速普及大大增加了组织的潜在攻击面。API对后端数据库的访问能力,使得数据成为攻击者在寻找敏感信息时的主要目标。在此背景下,威胁者越来越多地使用专有技术(例如注入攻击和访问令牌欺骗等)对API进行攻击。
绿盟API安全监测与审计系统(APISec)
API资产识别准确率高
API资产识别与梳理的重要性不言而喻,绿盟APISec通过多种手段逐渐过滤,最终能输出准确的API资产列表:
通过白名单屏蔽扫描器源IP
忽略静态文件传输
忽略无页面内容请求如40x、50x
通过http head和http body识别API
自动路径合并,将同一API进行合并
通过这一系列自动化的识别与优化,绿盟APISec输出的API资产列表将保持较高的准确性。再加上绿盟APISec通过内容和上下文分析而打上的各种标签,会更进一步提升API安全的监测能力和运营效果。
敏感数据类别覆盖广
绿盟科技在数据安全多年的积累和多个项目实战中的经验中,得到一套准确度高、覆盖行业广的数据分类分级模板。可准确识别数据的类别和级别。绿盟APISec系统内置个人隐私数据模板和3个行业分类分级模板,识别API所传输数据的类别和级别。通过行业规范和实战优化,敏感数据识别准确率高。为API安全风险识别和数据泄露风险奠定基础。
异常行为发现模型丰富
绿盟APISec非常关注API异常行为识别的能力,并且开创性地通过多维分析方式,提升API异常行为识别能力的准确度。通过数据维度、账号维度、频率维度、生命周期维度、内网维度、外网维度等6个维度的结合,更精准地发现API的异常行为风险。