近日,全球知名研究机构Forrester发布了《The API Security Software Landscape, Q3 2024》市场报告,报告中从API安全测试、身份验证与授权、攻击检测、攻击响应、API管理、全生命周期管理等维度对市面上主流的API安全供应商进行了评估,为企业产品选型提供了依据。腾讯安全凭借云WAF在API安全上的能力入选报告,并在多项指标上获得了Forrester的认可和推荐。
在千行百业数字化转型的背景下,API成为了数字化体验的中心,APP、Web网站和小程序等应用的核心功能、微服务架构等均离不开API的支持,由于API允许外部各方存取访问,对API的每一次调用都有可能带来安全和隐私风险,包括数据验证不力、配置错误、越权登陆以及安全组件之间缺乏集成等,甚至可以通过修改APP链接实施“投毒”攻击,由于这些特性,API也逐渐成为众多攻击者的目标,尤其是在大型攻防演练和重保场景中,API也成为了攻守双方的必争之地。
在实战中,腾讯云WAF安全专家团队发现,通常企业的API安全建设会面临四大挑战:
● 大量应用和逻辑上云,促使API资产和使用量暴增;
● 业务敏捷开发、快速迭代的需求,无法顾及API安全;
● 接口缺少维护,引发多种攻击隐患;
● 纵深边界打破,API风险增加,造成安全措施遗漏。
基于对客户需求的洞察,腾讯云WAF更新升级了其在API安全上的五大能力:
● 即开即用,一键开启API的安全管控;
● 自动发现,动态梳理资产用途和变化;
● 场景识别,快速梳理敏感暴露面;
● 可视化分析,指明趋势和风险;
● 联动防护,联动腾讯天御流量风控和威胁情报。
通过上述手段,腾讯云WAF可以帮助企业用户全面清点API资产、智能发现API动态变化及风险趋势、精准识别API暴露面及敏感数据,灵活、全面、精准构建API全生命周期安全防护。在落地实践中,腾讯云WAF-API安全帮助某大型医院全面梳理了API资产,发现医院APP存在大量无需鉴权即可访问的API,并迅速处置了API风险,避免了百万级敏感数据的泄露。
目前,腾讯云WAF已广泛应用于民生政务、金融、电子商务、新零售、教育、房地产、互联网、游戏等领域的细分行业与市场,为千行百业的云上企业客户提供全方位的Web应用安全支持。
此前,腾讯云WAF已经获得多次入选国际研报、多项权威机构奖项,并于2021和2022年先后入选Forrester《Now Tech: Bot Management, Q4 2021》、《Now Tech: Web Application Firewalls,Q2 2022 》报告。此次入选,是其在API安全上的能力再次获得Forrester权威认可。腾讯安全也将聚焦于客户需求与场景,持续优化在API安全上的性能与表现,为客户数字化建设提质增效,减少安全后顾之忧。
