API資產管理為重點，API安全審計為核心

　　在“萬物皆可API”的時代，通過API快速構建產品和服務、迅速響應客戶需求已是數字化企業的必備技能。但同時，API承載著越來越復雜的應用程序邏輯和越來越多敏感數據的特征，也使得API成為黑客攻擊的重點目標，導致數據泄露事件頻發。

　　API管控不當導致數據泄露事件頻發企業API安全建設勢在必

　　•2023年1月，推特有2.35億用戶個人信息被泄露，其中包括用戶的姓名、電子郵件地址、Twitter手柄、粉絲數量和賬戶創建日期；

　　?•美國通信巨頭T-Mobile被黑客通過未經授權的API，非法獲得3700萬用戶個人信息；

　　?•法拉利、寶馬、勞斯萊斯、保時捷等20家車企被爆出API安全漏洞，包括解鎖、啟動和跟蹤汽車以及客戶個人信息被泄露……

　　隨著API安全造成的影響越來越大，API安全已受到了業界的廣泛關注，開放Web應用程序安全項目（OWASP）在2019年就將API列為最受關注的十大安全問題。在今年，OWASPAPITOP10進一步更新了API安全風險，將“不受限訪問敏感業務（Bot防護）、服務端請求偽造、API的不安全使用”列為新增的API安全風險。

　　這些風險很大程度來源于企業API管控不當，即企業不知道自身有多少API被開放，使用是否受控，有怎樣的安全風險和隱患，從而使得API變成了企業網絡安全薄弱的一環。

　　目前，我國《網絡安全法》《個人信息保護法》《數據安全法》已正式施行，為各行業帶來了更大力度的合規監管，這促使企業必須加強API安全建設，保障數據安全。

　　解決企業API管控亂象瑞數信息推出全新API安全審計產品

　　瑞數API安全審計系統（APISecAudit），以API資產管理為重點、API安全審計為核心，幫助企業自動發現API資產、檢測API安全攻擊、識別API請求中的敏感數據、監測API運行狀態、審計API訪問行為、識別API應用缺陷，提供豐富的API安全審計報告。

　　API安全審計系統技術獨特性如下：

　　●資產發現

　　支持從Swagger文件、表格等導入API資產，也可以通過對API流量分析，自動發現流量中的網站、端口、API資產和敏感接口等，支持自定義API接口規則，快速、精準地進行API資產發現、API接口樣式提取并提供API接口可視化展示，支持API接口分類、分組并指派責任人，實現數據分權管理。

　　●安全檢測

　　支持對OWASPAPISecurityTop10安全攻擊的檢測，從海量訪問中快速發現和定位安全風險事件；通過AI技術實現API參數自學習和調用順序自學習，滿足合規檢測要求，內置各種業務威脅模型，快速應對諸如爬蟲、撞庫等各類業務威脅。

　　●行為檢測

　　對API接口的請求、響應、參數和返回值等進行記錄和分析，建立API訪問基線，識別偏離基線和異常的訪問行為，如：高頻訪問、內網應用訪問互聯網等；同時，自動識別Bot訪問行為，對Bot類型進行分類，更有效地實現訪問行為審計，從而及時發現和解決問題，保證API接口的正常訪問。

　　●數據合規

　　內置敏感數據檢測引擎，覆蓋姓名、手機號、身份證、銀行卡、密碼等上百種敏感數據類型，內置電信和金融行業數據分級，支持敏感數據自動分級，實時洞察API接口中雙向傳輸的敏感數據、明文密碼和弱密碼等數據泄漏風險，對API接口傳輸的敏感數據進行記錄、分析和審查，以保證敏感數據的安全傳輸。

　　●統計分析

　　瑞數API安全審計系統內置豐富的API安全報表，底層還提供了大數據分析平臺，無需二次開發，根據用戶的個性化需求，快速生成報表，所見即所得。

　　●聯防聯控

　　瑞數API安全審計系統提供了豐富的API接口，同時支持與kafka對接，實現與安全設備的聯動，達到聯防聯控的目的。

　　助力中國API安全建設瑞數API安全產品在多行業應用

　　瑞數信息作為國內首批具備“云原生API安全能力+WAAP能力”認證的專業廠商，連續多年入選Gartner、IDC等全球知名咨詢機構評選的中國API領域代表廠商，充分展現了在API領域的強勁技術實力和市場表現。目前，瑞數API安全解決方案已廣泛應用在金融、零售、醫療、政府、運營商等多個行業中。此次推出的瑞數API審計系統同樣適用于各行業，尤其是有大量API應用，但防護手段單一、迫切需要API安全解決方案的企業。

　　作為國內最早推出API安全解決方案之一的廠商，瑞數信息于2019年就推出具有API感知、發現、監控、保護能力的API安全解決方案，并形成了瑞數API安全管控平臺(APIBotDefender)，包括API資產管理、攻擊防護、敏感數據管控和訪問行為管控四大模塊，為API接口提供完整的安全管控方案。如今，瑞數API審計系統正是瑞數API安全系列產品家族中的重要一員。

　　在API安全日益重要的今天，瑞數API安全審計系統的推出，能夠更好地幫助企業應對未知威脅、發現API安全風險和缺陷，保證業務的正常高效運轉。未來瑞數信息還將持續創新技術、產品和服務，進一步提升API安全能力，為企業有效抵御新興威脅、合規建設應用安全和數據安全打下堅實基礎。