近日,全球权威咨询和调研机构Gartner发布《2023年应用安全技术成熟度曲线》(Hype Cycle for Application Security, 2023),威胁猎人入选「API威胁防护」领域代表厂商,也是本次唯一入选的中国厂商。据了解,其“情报驱动”的API安全创新方案和技术优势起到了关键作用。
技术成熟度曲线是为企业提供评估各领域技术成熟度的典型工具,也是帮助行业客观判断技术潜力和商业价值的重要依据。《2023年应用安全技术成熟度曲线》从业务效益、成熟度、市场渗透率等维度评价并分析了当下备受关注的27种应用安全技术及服务,为企业用户判断技术潜力及商业价值提供参考。
为支持数字化转型过程中的信息流通以及各种系统、程序和应用之间的连接,API 在应用架构中变得更加普遍。然而,这种增长引起了攻击者的更多关注,使得API成为许多系统的主要攻击面。
近些年因API安全问题导致的数据泄漏事件频频发生,可见API安全是一个常见但似乎又不为大众熟知的领域。
报告提到,API威胁防护技术的应用仍存在一些挑战,例如许多企业组织的API缺乏可见性,导致很多API存在于正常流程和控制之外,容易遭受攻击。
此外,许多API安全问题都与业务逻辑有关,API安全产品需要了解业务逻辑并识别异常流量,否则针对业务逻辑威胁的保护很难做到完全自动化。报告中还提到:”金融服务API本质上是高价值的,容易被滥用和欺诈”。
以“情报”构建API安全边界
作为中国API安全领域的领先者,威胁猎人很早就关注到API安全的问题,并基于自身在安全领域多年的技术积累和海量攻防实战经验沉淀,推出国内首个以“情报”能力为基础的API安全管控平台。
1.以API资产为中心,持续、动态梳理API资产,包括及时了解API开放数量、API活跃状态、僵尸API、影子API以及API中流动的敏感数据等情况,并对敏感数据类型进行分级分类,让企业可以非常清晰、量化地知道自己的API资产及其风险。
2.在API资产和数据资产可见的基础之上,借助“情报”持续跟踪攻击者如何利用新型API漏洞进行攻击,包括业务API的逻辑漏洞、开源系统的API未授权漏洞等,及时告警撞库、扫号、数据爬取等攻击风险,提升风险事件的响应速度。
这一能力正好满足了当下一些基于规则特征的产品无法解决海量小号、秒拨代理IP低频攻击等API逻辑攻击问题。
据了解,截至目前,威胁猎人已为银行、证券、保险、互联网、汽车等多个领域的客户提供API安全服务,充分验证了威胁猎人在API安全领域的客户信赖。
