搜索歷史

清空
搜索熱詞
      0
      • 聊天消息
      • 系統(tǒng)消息
      • 評(píng)論與回復(fù)
      VIP于 到期 續(xù)費(fèi)
      登錄后你可以
      • 下載海量資料
      • 學(xué)習(xí)在線課程
      • 觀看技術(shù)視頻
      • 寫(xiě)文章/發(fā)帖/加入社區(qū)
      會(huì)員中心
      創(chuàng)作中心
      發(fā)布
      創(chuàng)作活動(dòng)

      完善資料讓更多小伙伴認(rèn)識(shí)你,還能領(lǐng)取20積分哦,立即完善>

      3天內(nèi)不再提示

      350種類型、10W+量級(jí)的API,企業(yè)應(yīng)該怎么管?

      芯盾時(shí)代 ? 來(lái)源:未知 ? 2023-10-26 15:25 ? 次閱讀
      忽如一夜春風(fēng)來(lái),萬(wàn)物皆可API。在互聯(lián)網(wǎng)時(shí)代,API無(wú)處不在:企業(yè)對(duì)外開(kāi)放的數(shù)據(jù)、服務(wù)和業(yè)務(wù)能力,以API的形式提供給合作方;企業(yè)內(nèi)部應(yīng)用與應(yīng)用、App與App之間的通信,通過(guò)API進(jìn)行;甚至應(yīng)用內(nèi)部的各模塊之間,也通過(guò)API連接在一起。隨著微服務(wù)架構(gòu)的普及、開(kāi)發(fā)向低代碼/無(wú)代碼轉(zhuǎn)變,API的應(yīng)用范圍還在持續(xù)擴(kuò)大中。毫不夸張的說(shuō),不會(huì)利用API做產(chǎn)品、搞開(kāi)發(fā),你就OUT了。 讓人始料不及的是,API竟然成了黑客眼中的“香餑餑”。今年一季度的一項(xiàng)研究顯示,過(guò)去六個(gè)月中,針對(duì)API的攻擊增加了400%。順著API這個(gè)自動(dòng)化的“窗口”,摸進(jìn)企業(yè)的Web應(yīng)用和內(nèi)網(wǎng),已經(jīng)成為了黑客最喜歡的攻擊方式之一。 企業(yè)業(yè)務(wù)離不開(kāi)API,API攻擊有不好防。如何建立API安全防護(hù)體系,成為了企業(yè)不得不面對(duì)的問(wèn)題。

      API安全為什么如此難搞?

      想弄清企業(yè)如何建設(shè)API安全防護(hù)體系,先要弄清API面對(duì)哪些安全威脅。API,是應(yīng)用程序之間的交互接口,一旦封裝完成,API就能自動(dòng)接受請(qǐng)求、發(fā)送響應(yīng)。如果把企業(yè)的業(yè)務(wù)應(yīng)用視為一餐廳,那么API就是點(diǎn)餐窗口。你作為客人,無(wú)需走進(jìn)廚房告訴廚師你的豆腐腦是甜口還是咸口,只要在窗口說(shuō)明你的需求,廚師就能按照你的要求做好菜,最終送到你的餐桌。如果一家企業(yè)只有一個(gè)API,API安全不難保障。如果企業(yè)只有一種API,安全挑戰(zhàn)也容易應(yīng)對(duì)。但隨著企業(yè)的業(yè)務(wù)應(yīng)用快速增加、應(yīng)用的功能越來(lái)越豐富、應(yīng)用的架構(gòu)越來(lái)越復(fù)雜,API的功能、類型、數(shù)量開(kāi)始爆炸式增長(zhǎng)。有研究顯示,每家企業(yè)平均管理超過(guò)350種不同類型的API,單個(gè)復(fù)雜業(yè)務(wù)應(yīng)用的API數(shù)量可達(dá)10W級(jí)。還是用點(diǎn)餐窗口舉例。一家餐廳有上萬(wàn)個(gè)點(diǎn)餐窗口,有的窗口專賣漢堡,有的窗口專賣魚(yú)香肉絲;有的窗口誰(shuí)用都行,有的窗口需要先驗(yàn)明身份;有的窗口一小時(shí)接待1萬(wàn)人,有的窗口1個(gè)月沒(méi)人來(lái)...... 身為一個(gè)中國(guó)人,你一定知道,不管多么小的問(wèn)題,乘以10W,都會(huì)成為很大的問(wèn)題。如果你是餐廳經(jīng)理,面對(duì)10W+點(diǎn)餐窗口,是不是一個(gè)頭兩個(gè)大?但這只是API安全問(wèn)題的第一個(gè)難點(diǎn),類似的難點(diǎn)還有很多。每一個(gè)API都可能存在安全漏洞,有的漏洞沒(méi)被發(fā)現(xiàn),有的漏洞沒(méi)來(lái)得及修補(bǔ),每個(gè)漏洞都有可能被黑客利用。針對(duì)API的攻擊方式層出不窮,注入攻擊、DDoS、信息遍歷、亂序攻擊……一波還未平息,一波又來(lái)侵襲。更讓人頭疼的是,新的API不斷上線,老的API還沒(méi)下線,本來(lái)就混亂的API資產(chǎn)持續(xù)擴(kuò)大……這些問(wèn)題最終攪在一起,讓企業(yè)的API像一團(tuán)麻,總有那解不開(kāi)的小疙瘩。

      API安全應(yīng)該怎么搞?

      弄清了API安全為什么難搞,就能對(duì)癥下藥,破解企業(yè)的API安全難題。首先,要摸清企業(yè)的API資產(chǎn)現(xiàn)狀,弄清企業(yè)有多少個(gè)API、有哪些類型的API,這些API的IP是什么、功能是什么,哪些API在使用、哪些API已停用。摸清這些之后,就能建立API資產(chǎn)管理體系,更好的管理API。面對(duì)海量的API,單憑人工無(wú)法完成這項(xiàng)工作,效率更高的AI是企業(yè)唯一的選擇。 其次,要監(jiān)測(cè)API現(xiàn)有的安全漏洞,并持續(xù)發(fā)現(xiàn)新出現(xiàn)的API漏洞。針對(duì)現(xiàn)有漏洞,要給出修補(bǔ)方案;針對(duì)未知漏洞,要持續(xù)更新漏洞庫(kù),保證對(duì)新型漏洞的檢出能力。再次,能夠檢測(cè)針對(duì)API的攻擊。企業(yè)不但需要防范已知攻擊,還要及時(shí)對(duì)新型攻擊做出響應(yīng),這要求API安全產(chǎn)品不但要具備豐富的威脅模型,還要具備應(yīng)對(duì)未知風(fēng)險(xiǎn)的能力。最后,準(zhǔn)確識(shí)別通過(guò)API傳輸?shù)拿舾袛?shù)據(jù),對(duì)數(shù)據(jù)進(jìn)行脫敏、加密處理。一旦發(fā)現(xiàn)風(fēng)險(xiǎn)事件,實(shí)時(shí)阻斷數(shù)據(jù)主路,避免敏感數(shù)據(jù)被竊取。總的來(lái)說(shuō),面對(duì)類型超過(guò)350種、數(shù)量難以統(tǒng)計(jì)的API,企業(yè)一鍵三連遠(yuǎn)遠(yuǎn)不夠,一鍵四連才能滿足基本需求。

      芯盾時(shí)代API安全監(jiān)測(cè)平臺(tái)

      面對(duì)難搞的API安全,芯盾時(shí)代作為領(lǐng)先的零信任業(yè)務(wù)安全產(chǎn)品方案提供商,給出了自己的答案——以AI技術(shù)賦能API安全,打造API安全監(jiān)測(cè)平臺(tái),幫助企業(yè)建立資產(chǎn)摸得清、漏洞看得透、攻擊測(cè)得出、數(shù)據(jù)攔得住的API風(fēng)險(xiǎn)監(jiān)測(cè)體系,保障企業(yè)業(yè)務(wù)系統(tǒng)的安全和穩(wěn)定運(yùn)行。芯盾時(shí)代API安全監(jiān)測(cè)平臺(tái)安全平臺(tái),具備以下功能——1.API資產(chǎn)梳理芯盾時(shí)代API安全監(jiān)測(cè)平臺(tái)能夠基于結(jié)合機(jī)器學(xué)習(xí)的API流量基線與自主研發(fā)的劃分引擎,自動(dòng)持續(xù)發(fā)現(xiàn)API資產(chǎn),以功能、應(yīng)用等多種維度聚合同類API,形成分類明確、路徑清晰的API資產(chǎn)樹(shù)。平臺(tái)支持多文件導(dǎo)入,便于新應(yīng)用、新版本API資源的快速上傳,與API自動(dòng)發(fā)現(xiàn)形成互補(bǔ),讓企業(yè)的API資產(chǎn)管理無(wú)死角。wKgZomU6FFaADV6HAAKHgGdbtos469.png平臺(tái)基于流量分析構(gòu)建API資產(chǎn)畫(huà)像,從全局API資產(chǎn)、應(yīng)用API信息、單個(gè)API三種粒度,以可視化的方式展現(xiàn)各種API信息,為企業(yè)建立“全局可視、單點(diǎn)清晰”的API資產(chǎn)管理體系。wKgZomU6FFaANhykAADOcxjqDAw885.png2.API脆弱性分析芯盾時(shí)代提供主動(dòng)人工檢測(cè)漏洞和被動(dòng)流量脆弱性分析兩種方式。針對(duì)實(shí)時(shí)流量中存在的異常行為,API安全監(jiān)測(cè)平臺(tái)提供豐富的樣本庫(kù),自動(dòng)分析和發(fā)現(xiàn)系統(tǒng)中存在的脆弱性問(wèn)題。同時(shí),芯盾時(shí)代提供人工滲透測(cè)試,對(duì)API存在的越權(quán)、注入、失速和敏感數(shù)據(jù)暴露等漏洞進(jìn)行檢測(cè),幫助企業(yè)建立動(dòng)態(tài)API安全防線。3.API攻擊監(jiān)測(cè)API安全監(jiān)測(cè)平臺(tái)能夠?qū)崟r(shí)監(jiān)控API訪問(wèn)情況,分析數(shù)據(jù)流量,通過(guò)內(nèi)置的API威脅模型識(shí)別賬號(hào)暴力破解、未授權(quán)訪問(wèn)等風(fēng)險(xiǎn)行為,通過(guò)機(jī)器學(xué)習(xí)技術(shù)對(duì)攻擊進(jìn)行建模、學(xué)習(xí),持續(xù)擴(kuò)展攻擊檢測(cè)能力,智能識(shí)別新型攻擊。安全人員可借助平臺(tái)對(duì)攻擊進(jìn)行分析、溯源,實(shí)現(xiàn)對(duì)API風(fēng)險(xiǎn)行為的全生命周期管理。wKgZomU6FFeAZtUOAAFx14vQ0Ic955.png4.敏感數(shù)據(jù)感知芯盾時(shí)代API安全監(jiān)測(cè)平臺(tái)內(nèi)置敏感數(shù)據(jù)檢測(cè)引擎,覆蓋姓名、手機(jī)號(hào)、身份證號(hào)、銀行卡號(hào)等敏感數(shù)據(jù)類型。安全人員可自定義敏感數(shù)據(jù)識(shí)別規(guī)則,實(shí)時(shí)洞察API接口中雙向傳輸?shù)拿舾袛?shù)據(jù),并針對(duì)命中風(fēng)險(xiǎn)事件的IP、賬號(hào),進(jìn)行主路實(shí)時(shí)阻斷。平臺(tái)支持對(duì)敏感事件的訪問(wèn)取證,安全人員可對(duì)敏感數(shù)據(jù)進(jìn)行追蹤溯源。wKgZomU6FFeAEczkAAEJAY_B2-I090.png有了芯盾時(shí)代API安全監(jiān)測(cè)平臺(tái),企業(yè)的API管理更規(guī)范、更智能、更高效,能夠及時(shí)發(fā)現(xiàn)和處理潛在的API安全和數(shù)據(jù)安全問(wèn)題,為建立全面的API安全防護(hù)體系奠定基礎(chǔ)。如果你正在為搞不清公司有多少API而發(fā)愁,趕快把芯盾時(shí)代API安全監(jiān)測(cè)平臺(tái)安排上,讓AI幫你搞定API安全~

      往期 · 推薦

      【喜訊】芯盾時(shí)代入選《2022中國(guó)網(wǎng)絡(luò)安全十大創(chuàng)新方向》API安全防護(hù)典型廠商

      【喜訊】芯盾時(shí)代入選《API安全產(chǎn)品及服務(wù)購(gòu)買指南》 以零信任破解API安全難題

      芯盾時(shí)代亮相ICT技術(shù)發(fā)展與企業(yè)數(shù)字化轉(zhuǎn)型高峰論壇 詳解零信任數(shù)據(jù)安全建設(shè)之道

      芯盾時(shí)代參與編寫(xiě)《零信任數(shù)據(jù)安全白皮書(shū)》 給出數(shù)據(jù)安全“芯”方案

      原文標(biāo)題:350種類型、10W+量級(jí)的API,企業(yè)應(yīng)該怎么管?

      文章出處:【微信公眾號(hào):芯盾時(shí)代】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。


      聲明:本文內(nèi)容及配圖由入駐作者撰寫(xiě)或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場(chǎng)。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問(wèn)題,請(qǐng)聯(lián)系本站處理。 舉報(bào)投訴
      • 芯盾時(shí)代
        +關(guān)注

        關(guān)注

        0

        文章

        181

        瀏覽量

        1799

      原文標(biāo)題:350種類型、10W+量級(jí)的API,企業(yè)應(yīng)該怎么管?

      文章出處:【微信號(hào):trusfort,微信公眾號(hào):芯盾時(shí)代】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。

      收藏 人收藏

        評(píng)論

        相關(guān)推薦

        簡(jiǎn)述led數(shù)碼類型和顯示原理

        LED數(shù)碼是一常見(jiàn)的顯示設(shè)備,廣泛應(yīng)用于各種電子設(shè)備和系統(tǒng)中。本文將介紹LED數(shù)碼類型和顯示原理,以幫助讀者更好地了解這種設(shè)備。 LED數(shù)碼
        的頭像 發(fā)表于 08-29 09:11 ?383次閱讀

        請(qǐng)問(wèn)pA極和nA極的電流放大應(yīng)該使用哪種類型的放大器?

        如題所示,pA極和nA極的電流放大應(yīng)該使用哪種類型的放大器?大家?guī)蛶兔Π?
        發(fā)表于 08-21 07:21

        晶體的主要類型有哪些

        晶體是一固體半導(dǎo)體器件,它通過(guò)控制電流的流動(dòng)來(lái)實(shí)現(xiàn)電子信號(hào)的放大、開(kāi)關(guān)、穩(wěn)壓、信號(hào)調(diào)制等多種功能。根據(jù)其結(jié)構(gòu)和工作原理的不同,晶體可以分為多種類型。
        的頭像 發(fā)表于 08-15 11:49 ?550次閱讀

        濾波電路的四種類型是什么

        濾波電路是電子電路中非常重要的一部分,它主要用于對(duì)信號(hào)進(jìn)行頻率選擇,即允許特定頻率范圍內(nèi)的信號(hào)通過(guò),而阻止其他頻率的信號(hào)。濾波電路根據(jù)其特性可以分為四基本類型:低通濾波器(Low-Pass
        的頭像 發(fā)表于 08-08 16:25 ?947次閱讀

        負(fù)反饋的四種類型是什么

        負(fù)反饋是電子系統(tǒng)中常用的一技術(shù),它通過(guò)將系統(tǒng)輸出的一部分信號(hào)以某種方式反饋到輸入端,以減小輸出信號(hào)與期望信號(hào)之間的差異,從而提高系統(tǒng)的穩(wěn)定性和性能。負(fù)反饋主要分為四種類型:電壓串聯(lián)負(fù)反饋、電壓并聯(lián)負(fù)反饋、電流串聯(lián)負(fù)反饋和電流并聯(lián)負(fù)反饋。
        的頭像 發(fā)表于 08-08 16:15 ?1632次閱讀

        負(fù)反饋的四種類型及判斷方法

        負(fù)反饋,又稱為負(fù)反饋調(diào)節(jié),是指在一個(gè)系統(tǒng)中,當(dāng)系統(tǒng)輸出的某些變化對(duì)輸入產(chǎn)生抑制作用時(shí),系統(tǒng)會(huì)自動(dòng)調(diào)節(jié)以維持穩(wěn)定狀態(tài)的現(xiàn)象。負(fù)反饋在生物、工程、經(jīng)濟(jì)等多個(gè)領(lǐng)域都有廣泛的應(yīng)用。本文將介紹負(fù)反饋的四種類型
        的頭像 發(fā)表于 08-02 11:01 ?1118次閱讀

        DVI連接器的3種類型5規(guī)格有何區(qū)別

        DVI(Digital Visual Interface)連接器,即數(shù)字視頻接口。共有3種類型,5規(guī)格,你知道有何區(qū)別嗎? 3種類型分別為: 1.DVI-A(DVI-Analog)接口,只傳輸
        的頭像 發(fā)表于 05-15 17:53 ?920次閱讀

        功率放大器有哪些類型 5種類型盤(pán)點(diǎn)

        種類型的放大器只有一部分信號(hào)周期內(nèi)的輸出晶體處于導(dǎo)通狀態(tài),通常用于需要高效率但可以容忍較高失真的應(yīng)用,例如射頻傳輸。
        的頭像 發(fā)表于 03-13 16:37 ?3533次閱讀

        如何判斷達(dá)林頓等效為何種類型的三極呢?

        如何判斷達(dá)林頓等效為何種類型的三極呢? 達(dá)林頓是由兩個(gè)三極級(jí)聯(lián)而成,以增強(qiáng)放大器的電流放大和電壓放大能力。為了判斷達(dá)林頓
        的頭像 發(fā)表于 01-12 11:18 ?655次閱讀

        開(kāi)關(guān)型防雷器件放電管有幾種類型??jī)?yōu)缺點(diǎn)是什么?

        開(kāi)關(guān)型防雷器件放電管有幾種類型??jī)?yōu)缺點(diǎn)是什么? 開(kāi)關(guān)型防雷器件放電是一用于保護(hù)電子設(shè)備免受雷擊和電壓過(guò)載的設(shè)備。它具有放電能力強(qiáng)、響應(yīng)速度快、穩(wěn)定性高等優(yōu)點(diǎn),在各種電子設(shè)備中得到了廣泛應(yīng)用。根據(jù)
        的頭像 發(fā)表于 01-04 14:13 ?469次閱讀

        雷達(dá)的種類有哪三種類型

        雷達(dá)是一利用電磁波進(jìn)行目標(biāo)探測(cè)和跟蹤的設(shè)備。它在軍事、航空、海洋、天文和氣象等領(lǐng)域具有廣泛的應(yīng)用。雷達(dá)的種類可以按照不同的分類方式進(jìn)行劃分。在本文中,我們將按照雷達(dá)的工作方式,將雷達(dá)分為三種類型
        的頭像 發(fā)表于 12-21 11:38 ?5095次閱讀

        常見(jiàn)的socket三種類型

        常見(jiàn)的socket三種類型? Socket是計(jì)算機(jī)網(wǎng)絡(luò)中常用的通信機(jī)制,在網(wǎng)絡(luò)編程中起到了非常重要的作用。Socket可以分為三種類型:流套接字(Stream Socket)、數(shù)據(jù)報(bào)套接字
        的頭像 發(fā)表于 12-08 11:18 ?2257次閱讀

        請(qǐng)問(wèn)儀用放大器的增益電阻應(yīng)該選用那種類型電阻?

        儀用放大器的增益電阻應(yīng)該選用那種類型電阻?
        發(fā)表于 11-20 08:02

        種類型的MOSFET的主要區(qū)別

        晶體,它屬于電壓控制型半導(dǎo)體器件。根據(jù)導(dǎo)電溝道類型和柵極驅(qū)動(dòng)電壓的不同,可以分為N溝道-增強(qiáng)型MOSFET、N溝道-耗盡型MOSFET、P溝道-增強(qiáng)型MOSFET、P溝道-耗盡型MOSFET四種類型。
        的頭像 發(fā)表于 11-07 14:51 ?1977次閱讀
        四<b class='flag-5'>種類型</b>的MOSFET的主要區(qū)別

        MOS晶體中各種類型的泄漏電流的原因

        MOS晶體中各種類型的泄漏電流的原因? MOS晶體是一廣泛應(yīng)用于現(xiàn)代電子技術(shù)中的晶體,它具有低功耗、小尺寸、高密度等優(yōu)點(diǎn),被廣泛應(yīng)用
        的頭像 發(fā)表于 10-31 09:41 ?1646次閱讀