权威认可！永安在线API安全入选IDC数据安全技术发展路线图

近日，全球权威研究机构IDC发布《IDC TechScape：中国数据安全技术发展路线图，2022》（以下简称报告），永安在线凭借API安全管控平台的突出表现，成功入选“变革型”技术曲线“API安全”技术推荐厂商。

TechScape选取了18个新兴及重要的数据安全技术进行分析，根据技术市场影响以及各技术的发展阶段将其分为变革型技术、主导型技术以及机会型技术三大类别，通过对每个数据安全领域单项技术的部署情况、风险程度、市场热度等内容进行了细致研究，并给出了不同技术领域下的三个产品推荐厂商，从而为最终用户在产品选型时提供技术参考。

API安全已成为

数据安全领域的关键环节

企业在数字化转型过程中，数据资产的比重与价值迅速提升，API作为数据价值开发利用环节中最重要的传输媒介之一，近年来数量剧增，其内在连接数据、内容的属性在给技术服务提供商和用户带来便利的同时，也开始被众多攻击者所关注。然而现阶段API的增速与其安全发展的不平衡，使其成为企业数据安全最大的风险敞口。

近年来，全球范围内发生了多起由API被攻击导致的数据安全事件也给了企业一个警醒，做好API安全是实现数据安全、应用安全的关键环节。

IDC报告提到，现阶段API安全防护困境主要集中在API资产梳理不全面、不准确、开发过程中的API测试能力较弱、安全配置错误、身份认证与权限管控失误、加密失败、运行过程中持续的检测监测难、API安全意识薄弱等问题。

目前，传统在Web应用安全网关等产品中的API防护功能无法实现对API资产及API上流动数据全面、动态的梳理，难以及时感知日益复杂的API攻击或数据泄露风险。

为此，永安在线提出以情报为基础构建业务风险基线的新一代API安全管控平台，通过全自动化的API资产识别能力和高精准的API风险监测能力，有效帮助企业提高API安全管理水平和数据安全防护能力。

永安在线基于情报的

新一代API安全管控平台

永安在线API安全管控平台以企业API资产为中心，通过精准的风险情报构建API安全基线，并结合人工智能技术，实现企业API资产和敏感数据动态梳理、API缺陷持续评估、API攻击精准感知，帮助企业构建可预防、可解释、可溯源的数据安全管理体系。

1.自动化API资产管理，实现数据风险精准识别

• 全面、自动化梳理API资产

  
  

通过旁路镜像流量分析以及5层解析、过滤、规约过程，自动化梳理面向用户、内部员工、合作伙伴、贷后外包、开源组件和中间件等多种应用场景的API，建立完整API资产清单，帮助企业全面了解API开放数量、API活跃状态、僵尸API、缺陷API、涉敏API以及API中流动的敏感数据等情况，实现API资产可视化。

• 敏感数据分级分类

永安在线的敏感数据分级分类引擎内置了84类敏感数据的检测，支持敏感数据API资产识别的自定义检测和分级分类，同时会根据对敏感数据访问的异常行为进行分析，及时预警数据泄漏风险，平均准确率达到97.89%，为企业的敏感数据建立起一道防护墙。

2.动态化API漏洞检测，实现自动化修复验证

永安在线基于代理蜜罐情报可以持续跟踪攻击者如何利用新型API漏洞来进行攻击，通过对新型攻击面和攻击特征的分析，持续迭代优化API漏洞检测引擎，覆盖业务API的逻辑漏洞以及开源系统API的未授权漏洞。

针对数据安全方面涉及的缺陷，对关键数据未脱敏、返回数据过多、敏感数据伪脱敏、URL传输敏感数据、传入参数可遍历、未授权访问、越权访问等漏洞进行检测，支持7大类46项安全漏洞检测，全面覆盖OWASP API Top10 安全问题。

3.基于独有的风险情报，精准识别攻击风险

攻击者利用大量的动态代理IP，伪装成正常的请求流量，对企业的敏感数据API进行低频慢速的爬取，这类攻击方式可直接绕过传统WAF、IPS等设备的安全策略，难以及时感知并阻断风险。

永安在线基于攻击者使用的攻击资源如攻击IP、工具、账号、行为等风险情报，构建API访问的行为基线，利用机器学习检测API访问序列中的异常行为，及时告警撞库、扫号、数据爬取、账号爆破、漏洞扫描等攻击风险。

此次永安在线入选报告，既是行业与客户对永安在线在API安全领域努力成果的肯定，也是鞭策。

未来，永安在线将继续发挥情报能力和攻防技术优势，以API安全技术创新为驱动，不断提升产品研发、服务能力及管理水平，全面保障企业每一个API的安全运行，为各行业客户数据和业务安全保驾护航。