《數世咨詢：2024年API安全市場指南（29頁）.pdf》由會員分享，可在線閱讀，更多相關《數世咨詢：2024年API安全市場指南（29頁）.pdf（29頁珍藏版）》請在三個皮匠報告上搜索。

1、 北京數字世界咨詢有限公司 2024.3API 安全市場指南2024 北京數字世界咨詢有限公司 2024.3API 安全市場指南2024以安全能力、數字資產和數字活動為三元素，以數據安全為核心目標，即三元一核的“數字安全三元論”?！皵底职踩摗庇伞熬W絡安全三元論”（數世咨詢于 2020 年提出）更新迭代而來，旨在匹配數字中國建設的進程，保障數字基礎設施穩定、可持續運行，保障數據有效流動、激發數據要素價值。報告編委主筆分析師：閆志坤數世咨詢合伙人|市場分析師首席分析師：李少鵬報告審核分 析 團 隊：數世智庫數字安全產業研究院 版權聲明本報告版權屬于北京數字世界咨詢有限公司。任何轉載、摘編或利

2、用其他方式使用本報告文字或者觀點，應注明來源。違反上述聲明者，數世咨詢將保留依法追究其相關責任的權利。數字安全是指，在全球數字化背景下，合理控制個人、組織、國家在各種活動中面臨的數字風險，保障數字社會可持續發展*的政策法規、管理措施、技術方法等安全手段的總和。這里的風險，不再局限于圍繞數字化資產的攻防對抗，還包括了數字資產所承載業務的穩定性、連續性和健康性。這里的安全不再特指有意還是無意，天災還是人禍，保安還是保險，而是更為廣義的安全狀態(SecSafe）。*世界環境與發展委員會出版的我們共同的未來報告中，將可持續發展定義為：“既能滿足 當代人的需要，又不對后代人滿足其需要的能力構成危害的發展

3、?！睌凳雷稍?，2023 年 11 月目錄前言 1關鍵發現 21API 安全概念 31.1 API 安全的關鍵能力 31.2其他安全能力 42市場指南 52.1能力企業 2.2市場概況 2.3需求分析 3未來發展趨勢104API 安全代表廠商優秀案例124.1某大型銀行 API 安全管控項目案例 12本案例由瑞數信息提供4.1.1項目背景 124.1.2項目目標 124.1.3項目方案 13目錄4.1.4項目成效 144.1.5項目創新點 154.2某醫院 API 安全防護項目案例 17本案例由青笠科技提供4.2.1項目背景 174.2.2防護目標 174.2.3防護方案 184.2.4項目成果

4、 184.3某金融機構一體化 API 安全監測與防護 20本案例由安勝華信提供4.3.1項目背景 204.3.2防護目標 204.3.3防護方案 214.3.5項目創新點 23 API 安全市場指南|2024 1前言隨著企業日益依賴 API 來提供對服務和數據的訪問，他們對 API 安全保護的重視程度也與日俱增，API（應用程序編程接口）是現代軟件開發的重要組成部分。它們是不同系統之間彼此通信以及共享數據和功能的“橋梁”。它為企業實現高效的數據共享、便捷的功能集成以及微服務架構改造等提供了技術支持，成為推動企業數字化轉型的關鍵基礎設施。對 API 的日益依賴也使其成為網絡犯罪分子最有吸引力的目

5、標，通過攻擊 API 來破壞信息系統和竊取數據，將成為數字時代黑產活動最集中的方向之一。然而，傳統的 API 網關或 WAF 的防護已無法滿足企業的 API 安全需求，數字時代需要專注于 API 的安全解決方案。為了客觀真實地反映 API 安全領域的市場及技術情況，數世咨詢通過資料收集、問卷調研、企業訪談、市場數據分析等方法撰寫API 安全市場指南報告。本報告從應用創新力與市場執行力兩大維度展現API安全廠商市場能力，同時，報告還對 API 安全概念、能力企業、市場概況、需求分析、未來發展趨勢等角度進行了梳理與描述，供業內人士參考。主筆分析師：閆志坤 數世咨詢合伙人|市場分析師勘誤與合作聯系：

6、2關鍵發現 隨著輕量級大數據技術的普及，促進了更多 API 安全產品涌現，新增了一批專注 API 安全的創新型企業；API 安全面臨的最大一項挑戰是全量 API 資產的發現與識別，而如何做好自動阻斷功能，已成為業界共同關注的焦點；目前 API 安全最大的應用場景是數據安全，除此之外，組織采購點需要主要集中在 API 資產發現與管理、風險監測、合規、訪問控制、權限管理等方面；目前API安全行業需求主要集中在政府部委、運營商、金融、互聯網企業、電力；在 HW、重保、攻防演練等場景中，API 已經成為重要的攻擊目標，進而驅動了組織對 API 安全的需求；2023 年國內 API 安全市場規模約為 6

7、.5 億元，預計 2024 年將達到 10億元。API 安全市場指南|2024 31API 安全概念本指南中的 API 安全是指，以 API 生命周期為鏈條，在協議覆蓋、資產梳理以及攻擊檢測的基礎上，通過大數據分析、機器學習等技術，精準描繪出業務邏輯和數據流向，進而整合各種安全資源，以達到威脅預防、攻擊阻斷以及敏感數據泄漏防護等目的。1.1API 安全的關鍵能力API 資產發現與管理通過流量分析、讀取 API 文檔和配置、代碼分析等多種技術手段，對多種 API 格式進行全面 API 資產識別發現（包括影子 API 和僵尸 API）、歸攏聚合并實時更新，是做好 API 安全防護的先決條件，也是

8、API 安全面臨的最大挑戰之一。API 資產發現與管理貫穿整個 API 生命周期，其中主要工作包括業務API 識別、分類打標、賬號管理、容器 API 識別、資產拓撲等。攻擊防護API 安全產品要能夠阻止針對 API 協議的攻擊，除了 plain HTTP、REST等可復用傳統安全能力的協議之外，仍有諸多協議標準，如 GRPC、Dubbo、GraphQL 等；還要能夠阻斷 WEB 攻擊，尤其是針對 OWASP API Security Top 10 中定義的網絡攻擊。API 安全產品應該能夠檢測到針對身份認證、授權攻擊，以及其他類型的授權攻擊。它還應該能夠檢測到過度的數據暴露、缺乏資源或速率限制

9、、安全錯誤配置、注入缺陷和批量分配缺陷等。此外，風險實時處置能力，如自動阻斷或與現有安全處置系統聯動形成閉環的能 力，已成為業界共同關注的焦點。4數據安全和隱私管理數據管理也是 API 安全關鍵能力之一，需要具備敏感數據檢測、數據地圖、數據流轉、數據出境、數據溯源等能力；同時要對敏感數據分級分類，滿足數據安全法和個人信息保護法等合規要求，須根據不同業務場景對敏感數據進行分類和分級；數據隱私方面，通過加密技術、訪問控制策略等手段，保護 API 傳輸的數據不被未經授權的用戶訪問或篡改和防范數據泄露。智能分析運行時防護：安全管控平臺需要對 API 運行時的流量進行監測和防護，要實現這樣的能力就需要了

10、解 API 的訪問、使用和行為，了解 API 安全環境的所有復雜性，解析日志、獲取目錄數據、審查配置、安全測試和評估設備配置等過程，利用綜合數據解析 API 業務邏輯和行為，將其統一進行風險研判后，評估對 API 安全態勢的影響，最后作出反饋動作。當然，AI/ML 是需要時間去學習和改進的，對于行為分析來說，越早部署，安全效能的發揮就能越早體現。攻擊預防：在 AIML 的協助下高頻的收集和持續分析 API 流量，并與每個源 IP 地址、每個用戶和每個會話的攻擊行為聯系起來。因為攻擊者在早期都會被動地、隱蔽地進行目標探測。還通常對客戶端應用程序代碼進行逆向工程以了解后端 API 的功能以及如何與

11、之通信，這種被動分析技術可以逃避大多數檢測，因為它們通常是作為合法流量出現的。而 API 安全產品應該能夠檢測到這樣流量的細微變化，達到早期攻擊預防的目的。1.2其他安全能力 應用威脅感知能力 運維降噪能力 情報輸入輸出能力 低代碼/無代碼防護拓展能力 API 安全市場指南|2024 52市場指南入選本報告的 API 安全廠商（按公司簡稱首字母排序）：安勝華信、安絡科技、梆梆安全、保旺達、邊界無限、從云科技、大拙信息、觀安信息、聯軟科技、綠盟科技、美創科技、奇安信、青笠科技、全知科技、瑞數信息、上海喜數、深信達、數安行、騰訊安全、威脅獵人、芯盾時代、星闌科技、億格云，共 23 家。2.1能力企

12、業根據廠商在 API 安全營收占比、業務專注度等多維度因素，將其劃分為專業賽道廠商、綜合業務廠商兩大類，橫坐標是市場執行力、縱坐標是應用創新力為依據，通過能力點陣圖的方式展現如下：圖 1專業賽道廠商6專業賽道廠商是指專注于 API 安全領域，核心業務圍繞 API 安全產品、占據公司主要營收，在 API 安全市場具有一定影響力、同行/客戶推薦度較高的企業。圖 2綜合業務廠商綜合業務廠商是指業務范圍廣泛，不局限于 API 安全產品，通常將 API 安全產品與其他安全產品集成形成更全面的解決方案，滿足客戶多樣化的安全需求。API 安全點陣圖橫坐標“市場執行力”包括市場營收、品牌影響力、行業廣度、行業

13、深度等維度，縱坐標“應用創新力“包括產品工程化、業務場景化、理論與基礎研究、技術融合度、業務純凈度等維度。2.2市場概況目前 API 安全在國內市場處于“新興市場”。在數世咨詢中國數字安全能力圖譜 2024屬于“應用場景安全”方向中“互聯網業務安全”的二級分類。API 安全市場指南|2024 7圖 3在中國數字安全能力圖譜 2024位置圖 4近五年 API 安全市場規模據本次調研統計，2023 年 API 安全市場規模約在 6.5 億元，根據參與調研的各安全廠商對本年 API 安全產品收入情況預估，預計 2024 年 API 市場規模預計達到 10 億元左右，API 安全市場仍處于發展初期，未

14、來增長潛力巨大。圖 5API 安全產品交付模式占比8其中產品作為單一標準化產品交付方式占 48%，定制化產品交付及運營占22%，作為安全項目中的一個功能進行交付占 28%，訂閱模式占 2%。圖 6API 安全產品在各行業應用情況根據調研結果，國內各行業組織對 API 安全的投入情況如下所示，前五名行業分別為政府部委（28%）、運營商（19%）、金融（11%）、互聯網企業（10%）、電力（9%）。這些數據表明政府和涉及重要基礎設施的行業對 API 安全需求和投入更為顯著，特別是在 HW、重保、攻防演練等場景中，API 已經成為重要的攻擊目標，因此，API安全在保障數據和服務的安全方面具有至關重要

15、的作用。此外，互聯網企業由于自身業務特殊性、復雜性，部分頭部企業采用了自主研發 API 安全產品，來滿足自身使用需求。圖 7API 安全產品主要客戶覆蓋地區 API 安全市場指南|2024 9此外，API 安全產品主要客戶的覆蓋區域也存在鮮明的特征，其中華南地區（27%），華東地區（28%），華北地區（21%）為主要的客戶所在地區。這些地區在 API 安全產品客戶中占據顯著份額，反映出對 API 安全的明顯需求。這種需求增長可能部分歸因于這些地區擁有大量科技企業、互聯網公司和其他高度依賴 API 的組織。高占比的地區表明 API 安全提供商需要特別關注這些地區，提供個性化的市場推廣和客戶支持，

16、以滿足這些地區客戶的需求。同時，也需要不斷探尋其他地區的潛在機會，以擴展市場份額。2.3需求分析根據本次調研，數世咨詢分析得出，目前國內組織采購 API 安全相關解決方案的需求主要圍繞以下幾個方面：API 資產發現與管理：全面梳理 API 資產，實現全生命周期管理，包括API發現、分類分級、變更管理等，難點在于影子API和僵尸API的發現和管理。API 風險監測：識別 API 漏洞、數據安全風險和異常行為，并及時采取措施進行修復和防護。API 訪問控制：實施細粒度的訪問控制和權限管理，確保只有授權用戶和應用程序才能訪問 API 資源。數據安全：保護 API 傳輸和存儲的敏感數據，包括數據加密、

17、脫敏和防泄漏。安全合規：滿足相關數據安全法規和行業標準的要求，提供合規性檢查和報告功能，幫助企業滿足合規性要求。103未來發展趨勢1、數據合規和隱私保護愈加嚴格驅動 API 安全落地隨著政府和行業對 API 安全監管力度將不斷加強，相應的法規和標準不斷完善，企業必須重視 API 合規性，以規避監管風險。特別是數據分類分級、數據安全出境等方面，企業需要建立健全的 API 安全管理體系以滿足合規需求。2、API 安全技術向著智能化發展未來，API 安全產品會具備訪問風險實時檢測能力/處置能力/溯源能力、低代碼/無代碼防護拓展能力等安全能力，我們將看到大數據分析、機器學習、行為分析等人工智能技術將在

18、 API 安全領域進一步深化。3、API 安全未來向著一體化生長型平臺發展API 安全將成為打通內部網絡安全、數據安全和外部應用安全、業務安全的重要防護手段。未來，API 安全平臺將在同一個數據平臺上集成 API 安全治理、應用環境威脅感知、敏感信息流動監測、訪問實體行為監控、業務邏輯安全等安全功能，向著一體化生長型平臺發展。4、API 安全平臺與 DevSecOps 流程對接，強化 API 全生命周期安全安全左移（軟件物料清單、開發安全）是支撐 API 安全重要環節之一，API 安全平臺將與 DevSecOps 流程對接，保護 API 生命周期中都得到安全保障。5、新增基于業務邏輯的反欺詐功

19、能 API 安全市場指南|2024 11通過深度理解和分析業務流程中的邏輯關系，識別和阻止潛在的欺詐行為，并根據企業的業務特點和風險模式，定制化反欺詐規則和策略，提高識別準確性和防護效果。124API 安全代表廠商優秀案例4.1某大型銀行 API 安全管控項目案例本案例由瑞數信息提供4.1.1項目背景近年來，某大型銀行一直在積極尋求業務上的革新，借助互聯網環境，通過 API 和 APP 等接入方式，為客戶提供便利的服務；與此同時，該銀行還經常搞一些促銷活動。然而，大量黑產通過工具搶促銷，導致促銷活動中有 2/3 的紅包被黑產薅走，甚至出現了活動頁面無法打開的窘境。因此該銀行迫切需要采用創新的安

20、全防護技術應對當前的業務風險，確保業務安全合規。4.1.2項目目標信息泄漏防護梳理已知和未知的 API 接口，防止 API 接口濫用，對 API 傳輸中的敏感數據進行識別，并進行脫敏或者實時攔截，防止敏感數據泄露。業務威脅防護防止攻擊者通過 API 接口，批量發起業務攻擊，避免在促銷活動時發起薅羊毛攻擊，以及在業務交易時發起交易欺詐的攻擊，導致業務損失；防止撞庫、爆破和重放等攻擊造成用戶信息泄露和賬戶盜用等危害，避免給該銀行的形象 API 安全市場指南|2024 13帶來負面影響。網絡安全合規在攻防演練中通過攻擊防護、用戶行為管控和用戶畫像等功能對 API 發起的攻擊進行防護以及攻擊溯源；通過

21、API資產生命周期管理避免在監管機構（銀監、網監等機構）安全檢查時發現未知的 API 接口及其它安全問題，免遭通告批評或者罰款。4.1.3項目方案針對該銀行面臨的安全威脅，瑞數信息致力于為其打造一個包含資產管理、攻擊防護、敏感數據保護和訪問行為管控等的API全生命周期的安全管控平臺，具體如下：圖 8API 全生命周期安全管控平臺資產管理：API 資產生命周期管理引入 API 資產管理，實現對 API 資產的統一管理。API 資產管理基于數據建模自動發現被保護站點的API資產，并在報表分析中展示檢測到的API請求，幫助客戶實現 API 資產的生命周期管理。API 自動發現：自動生成 API 列表

22、，對 API 接口的訪問情況一目了然。API 資產分組：基于關鍵字快速分組，并在分組后指定責任人，實現資產14管理閉環。API 導入和導出：支持從 API 網關、CMDB 等導入 API 列表，同時可以將API 清單導出。API 資產上下線：對 API 資產分組，進行批量上下線，實現 API 資產管控。攻擊防護：實現 API 資產縱深防御通過智能規則匹配及行為分析的智能威脅檢測引擎，持續監控并分析流量行為，從而有效檢測威脅攻擊。智能威脅檢測引擎會在用戶與 API 應用程序交互的過程中收集數據，并利用統計模型來確定 HTTP 請求的異常。一旦確定異常情況，智能引擎就會使用機器學習獲得的多種威脅模

23、型來確定異常攻擊。敏感數據管控：防止 API 接口數據泄漏通過敏感數據管控對該銀行業務的 API 接口回傳報文的手機號碼、銀行卡號和身份證號碼等敏感信息進行識別、過濾和脫敏，防止數據泄漏。與此同時，敏感數據保護功能會記錄客戶端訪問 API 接口的時間、源 IP、賬戶、域名、路徑和內容等信息，方便運維人員進行聚合分析以及追蹤溯源。訪問行為管控：實現 API 多維度業務威脅感知通過 AI 技術對 API 接口的訪問行為進行多維度 API 基線核查和威脅建模分析，發現各種業務威脅；同時借助訪問行為管控模塊攔截各種異常訪問行為。4.1.4項目成效目前，該銀行已經將個人網銀、企業網銀、微信銀行、手機銀行

24、和直銷銀行等 20 多個核心業務系統均納入瑞數 API 安全管控平臺的防護范圍。平臺上線兩年多來，沒有出現任何故障，很好地為該銀行抵御了因 API 接口而發起的各種漏洞攻擊、注入攻擊、跨站攻擊、撞庫攻擊、薅羊毛和交易欺詐等，獲得 API 安全市場指南|2024 15了該銀行的高度認可。滿足安全合規要求瑞數信息積極配合該銀行參與國家級網絡安全重保、攻防演練和安全迎檢等工作。在每年的攻防演練期間，瑞數 API 安全管控平臺均發現并攔截了 10余種攻擊行為，300 萬余次攻擊次數，讓該銀行在行業內獲得了良好的成績，樹立了良好的公司形象。避免造成經濟損失幫助該銀行提前做好防護，以主動應對通過API接口

25、發起的攻擊威脅，如：零日漏洞攻擊、批量開戶、撞庫、信息泄露、薅羊毛和交易欺詐等攻擊，避免遭受攻擊以造成經濟損失。增加市場營銷收益幫助該銀行攔截黑客利用大量虛假身份或盜用身份、模擬正常業務邏輯向該銀行發起業務攻擊，保證每次市場營銷活動順利進行，讓用戶可以真正地享受市場的促銷優惠，從而達到“拉新促活”的目的。降低安全運維成本瑞數 API 安全管控平臺無需修改應用代碼、無需進行特征庫及策略庫的升級維護工作，不僅可以實現業務全天候運行，還可以節省安全評估、安全應急、安全運維、安全合規和攻防演練等方面的成本投入。4.1.5項目創新點API 自動發現技術可以快速自動地發現業務潛在的未知 API 接口，并且

26、針對發現的 API 接口給出綜合評分，減少 API 接口防護的盲點。同時，通過清晰16的 API 列表輔助運維部門實時感知每個 API 接口的訪問情況。SDK 與各類 API 來源應用進行集成全渠道感知 API，增加 API 各種應用場景的防護，可以對來源環境和用戶行為進行感知，將防護邊界從服務器端延伸到客戶端，通過客戶端指紋追蹤、真實性識別和行為分析等技術，快速過濾出具有攻擊或欺詐意圖的惡意來源終端；全業務鏈安全威脅防護技術精準地構建 API 畫像，運維部門可以快速預覽各個業務的 API 情況，包括使用情況、異常情況和訪問來源等，從而大幅提升對交易欺詐和黑客來源的識別及追蹤能力，且能全程掌控

27、業務威脅全貌，建立對抗網絡空間威脅的全方位立體作戰能力；根據訪問行為分析的結果或指定條件進行動態響應防護，如：阻斷、延時響應和返回特定頁面等，提升攻擊者通過手工逆向分析或自動化工具探測等攻擊手段對該銀行業務發起攻擊的難度。金融行業經歷了從網點模式到APP模式、再到如今的API模式的演進歷程，API 的應用模式與業務場景和生態鏈接日益緊密，但是在 API 的應用過程中也引入了很多新的風險。該項目的成功經驗，為金融行業成功探索出了一條保護API 接口的新方法，該銀行所獲得的防護效果和項目收益，對廣大金融企業具有很好的借鑒意義。未來，瑞數信息也將繼續助力該銀行和其他金融機構構建開放、合作和共贏的動態

28、安全金融服務生態鏈。實際上除金融行業外，截至目前，瑞數 API 安全管控平臺也已在國內運營商、政府和企業等多家客戶中廣泛應用，通過采用全渠道感知 API、用戶畫像和動態響應防護等技術，幫助各行業企業主動應對通過 API 接口而發起的新興威脅，全面保護在線交易、網站和數據的安全！API 安全市場指南|2024 174.2某醫院 API 安全防護項目案例本案例由青笠科技提供4.2.1項目背景隨著 5G、云計算、物聯網等新興技術與傳統醫療系統的不斷融合，醫療信息化程度不斷提高，醫療數據呈爆發式增長，其蘊含的價值也隨之提升。然而，這也帶來了更多的數據安全風險。與此同時，國家、行業層面日趨完善的數據安全

29、監管，使得醫院數據安全建設面臨更大挑戰。某醫院近年持續推進智慧醫院建設，為了給患者提供更便捷的就醫服務，通過 web 網站、微信公眾號、第三方支付等方式進行信息發布、預約掛號、報告查詢等服務，內網業務應用對外開放大量 API 用于數據共享交換；API 接口的使用在醫院跨網、跨機構間的業務協同和數據共享中發揮著高效的支撐作用，幫助醫院實現診療、服務、管理、運營的正常運轉。但往往也成為了外部攻擊者攻擊醫院內部網絡的通道，對醫院系統和敏感數據造成極大安全威脅。4.2.2防護目標API 接口全面梳理全量梳理API接口、識別僵尸API接口、涉敏API接口,完善API資產清單；敏感數據流動分析監測涉敏接口

30、敏感數據流動去向，識別合理身份下的違規使用、濫用數據行為；安全風險審計溯源通過異常行為檢測和分析技術對 API 接口潛在的脆弱性風險(涵蓋 OWASP 18TOP10)、用戶異常、行為異常等風險進行識別，并提供溯源處置方案；參照現行法律法規和行業標準，確保 API 開放與數據共享過程中所有環節符合網絡安全法、個人信息保護法等相關法規要求。4.2.3防護方案通過在醫院內網核心交換機旁路部署 1 臺青笠 API 數據安全監測設備，對醫院應用系統全量訪問行為進行監測、分析，構建貫穿全安全運營周期事前梳理-事中監測-事后溯源的安全運營邏輯鏈；實現醫院 API 資產可見、數據流動可視、安全風險可知可溯源

31、。事前梳理：基于流量協議解析技術自動梳理龐雜的API接口，并進行分類、打標，完善 API 資產臺賬；事中監測：內置策略結合自定義專家策略實現對 API 脆弱性、用戶異常、業務訪問異常等安全風險進行識別。事后溯源：全量訪問行為審計留存，促進風險事件快速溯源定責。4.2.4項目成果數據資產可見通過全流量監測解析、智能化梳理實現 API 資產的梳理,幫助某醫院清晰的感知資產情況、敏感接口分布情況，為院方安全決策提供基礎，提升院方針對應用訪問行為監測、分析、溯源于一體的業務安全監測能力。數據流動可視通過多維度數據透出統計分析，細粒度監測數據流動趨勢，幫助院方對內 API 安全市場指南|2024 19部

32、業務數據流動、對外數據流動進行監測，識別合理身份下的數據非法使用、濫用行為，規避數據泄露風險。安全風險可知基于異常行為能力檢測與分析能力，對接口脆弱性、用戶異常、業務訪問異常等行為進行檢測，有效識別風險，并提供溯源、定位、處置能力，促進院方對風險事件的快速閉環管理。安全事件可溯源以全量訪問日志記錄為基礎，集合多個維度的統計分析能力，幫助院方快速定位風險來源，分析風險事件主體，提供數據支撐，以及原始數據證據信息，滿足合規需求。204.3某金融機構一體化 API 安全監測與防護本案例由安勝華信提供4.3.1項目背景隨著互聯網的高速發展，在數字經濟快速發展的同時，API 已成為面向內外部業務輸出、數

33、據輸出的重要載體，成為拉通業務+數據+應用的物質基礎。API 置身其中，必須堅決維護網絡安全，以國家安全觀為指導，有效應對各種API 安全威脅和挑戰，維護網絡秩序，共建健康、安全的 API 經濟生態。近年來，各大金融機構開始重視 API 安全風險，存量的安全運營架構中API 安全監測能力不足，無法及時發現業務邏輯漏洞風險，還出現過未授權訪問批量獲取敏感信息問題。金融機構把控安全運營的主流建設方向中，希望做到 API 安全細顆粒度監測，但是一天動輒成千上萬的風險告警量，也無法進行有效處理，因此，建立一套具備 API安全檢測能力的可持續運營體系迫在眉睫。4.3.2防護目標通過接入全業務流量，識別業

34、務數據，建立業務風險規則和數據安全規則，形成 API 資產發現、涉敏數據防泄露、規則模型及風險識別處置等多個方面的效果，完成對 API 攻擊行為和 API 數據泄露行為的風險識別，阻斷攻擊/異常行為，降低安全事件的發生。即，專注于：數據與業務強關聯場景下數據使用和流動過程中參數級的感知、檢測、監測、分析與處置?；跀祿髁?，動態提取 API 請求及響應數據，構建 API 數據資產。事前:對自動化、越權、繞過等 API 攻擊行為分析，建立以 API 數據資產為核心的防護模型；事中:實時統計分析 IP、數據、訪問行為等內容，匹配規則模型，對異 API 安全市場指南|2024 21常行為告警并阻斷；

35、事后:對留存的 API 訪問記錄審計分析，進一步優化檢測模型，提升攻擊/異常檢測準確性。4.3.3防護方案本次申報案例的方案內容主要集中在 API 風險全面檢測、告警實時處置、可持續運營三個方面。1、以 API 為技術角度，被動主動相結合，全面檢測攻擊行為通過對 API 業務數據中的請求和響應進行識別，提取訪問源地址信息，分析攻擊者以自動化破壞性手段對業務系統發起的攻擊行為，以及通過繞過、越權、參數遍歷等行為發起的獲取數據的非破壞性攻擊性行為。針對短期內無流量的 API，采用主動檢測形式產生流量，構造異常訪問進行風險檢測。通過主動被動相結合的方式對以 API 訪問的所有攻擊行為進行全面分析。圖

36、 9API 安全測試自動化示意圖2、插件部署，實現實時阻斷，又不增加鏈路節點基于業務字段級別的全量數據留存，針對業務上下文關聯分析以及多維度的數據下鉆、數據檢索等各種個性化分析，短時間內溯源到安全事件的關鍵信息，然后進行阻斷處置或者聯動處置。22網關插件以腳本的形式部署在業務系統網關 Nginx 上，訪問請求信息經過網關時，腳本對訪問請求信息進行攔截并解析，先發送給平臺完成攻擊行為分析，再將結果返回至插件，插件根據預設的交互條件確定通過還是攔截。為避免影響業務鏈路的訪問時效性，可在插件中設置超時時間，當攔截的 API 請求在超時時間內未接受到平臺對風險的響應結果，插件根據確定的目標地址繼續向后

37、發送請求。圖 10插件部署模式示意圖3、建立常態化運營機制，與三方系統聯動，實現運營自動化項目在實施過程中，與自動化編排系統進行聯動，平臺根據風險級別，將風險數據輸出給自動化編排系統。對外部系統，實施請求攔截或者將 IP 從防火墻上直接阻斷，將損失減少到最低；對內部系統，首先下發整改通知，要求人員確認漏洞和驗證，平臺根據修復的結果持續驗證。以此實現風險數據輸出、風險聯動處置及響應的完整機制和常態化的運營體系，為后續的安全運營項目提供建設性的指導意見和經驗積累。API 安全市場指南|2024 23圖 11安全運營體系化示意圖4.3.4項目創新點項目創新點主要體現在三方面：一是覆蓋范圍方面，案例在數據攻擊分析方面涵蓋 API 自身運行風險及基于 API 發起攻擊的風險，確?；?API 的攻擊風險和數據安全風險能夠全面發現；二是部署方面，業務系統零改造，利用插件部署模式，既不增加鏈路節點又可實現攻擊攔截，實現會話阻斷處置；三是業務運營方面，互聯網風險與自動化編排處置系統聯動，實現風險自動化處置，內網風險與數智化運維平臺聯動，根據業務系統反饋情況再行處置，處置率達標。