【应用安全】API安全管理系统

产品名称：API安全

产品概述

“API风险监测系统” 是以数据为中心，通过对Web、APP、小程序、IoT等应用系统的流量分析，从而实现API数据暴露面的治理和对数据攻击行为持续发现。系统部署在企业互联网出口，实时监控企业API的数据暴露面以及被攻击情况。

产品价值

数据合规风险

API作为个人信息在采集、使用、共享等流动场景的主要形式，管理不当易引发法律合规风险。 如2020年10月六家银行因侵害个人信息被人民银行处罚逾4000万元。

数据泄露风险

API是传输数据和连接服务的重要通道，大量敏感数据信息通过API直接暴露在开放的网络环境中，如果存在API漏洞将引发严重的数据泄露。

数据管理风险

信息化建设和业务系统变更是企业出现未知的影子API，成为安全管理的薄弱点，进而被黑灰产攻击者利用，如护网行动中攻击方多以此为突破点取得成功。信息化建设和业务系统变更是企业出现未知的影子API，成为安全管理的薄弱点，进而被黑灰产攻击者利用，如护网行动中攻击方多以此为突破点取得成功。

产品形态：

软硬一体化，纯软件

产品功能

发现全量API

在复杂多变的系统环境中自动发现公开的、私有的、面向合作伙伴的所有API，并识别敏感数据暴露面，建立API清单，对API进行分类分级。避免安全管理盲区，降低API的数据泄露和合规风险。

弱点发现-API安全隐患检测

根据API的原始请求和返回，发现识别API弱点并提供相应整改意见，及时修复降低API弱点被利用的风险，完整覆盖owasp检测。

风险发现

内置大量基于上下文的数据攻击风险规则，帮助用户发现有价值的数据泄露风险，精准定位数据泄露源头。

通过无监督学习算法，对API接口进行攻击学习，并识别API扫描、试探等攻击风险。

开放数据订阅

支持对发现的重要数据同步到第三方平台，可以通过syslog/kafka方式将指定的API资产、弱点或风险等信息同步给客户，助力客户及时发现弱点和攻击的变动情况，推动进行统一安全运营。

部署方式

旁路部署

产品选型

根据网络流量大小，可按业务数量需求选购