2022年中国网络安全行业 《API安全产品及服务购买指南》 2022年9月发布版 1 目录 前言1 Akamai阿卡迈8 北京安华金和科技有限公司12 北京从云科技有限公司25 北京长亭科技有限公司30 深圳红途科技有限公司35 北京九州云腾科技有限公司39 上海派拉软件股份有限公司43 全知科技(杭州)有限责任公司60 瑞数信息技术(上海)有限公司68 北京三江信达信息科技有限责任公司72 杭州世平信息科技有限公司78 思睿嘉得信息技术有限公司81 薮猫科技有限公司83 北京芯盾时代科技有限公司86 北京星阑科技有限公司89 杭州亿格云科技有限公司96 深圳永安在线科技有限公司99 1 前言 API安全是当下企业和互联网面临的最严峻的网络安全挑战之一,根据Gartner的研究, 2022年,超过九成Web应用程序遭到的攻击来自API,而不是人类用户界面。 API安全问题正给企业带来巨大损失,除了数据泄露、品牌与合规风险外,API安全问题可导致新产品或服务的发布延期甚至取消,企业创新被遏制,数字化转型受挫;大规模数据泄露或业务中断甚至会对关键基础设施和数字经济造成严重威胁和损失。 API安全的难点或者说悖论在于,尽管大多数安全专业人士建议隐藏资源减少暴露面和攻击面,但业务上成功部署的API却倾向使资源更加开放和可用。API的安全困局实际上也是现代IT面临的一个共性问题。对于安全团队而言,这意味着选择合适API安全产品方案并制定平衡的、良好的API风险缓解策略尤为重要。 API安全已经失控 根据Akamai的一项统计,API请求已占所有应用请求的83%,预计2024年API请求命中数将达到42万亿次,但API安全威胁却比API调用增长更迅猛。安全问题在API项目关注的名单中名列前茅,很少有受访者认为他们有信心识别和阻止API攻击。API安全已经濒临失控,主要表现为以下几个方面: API攻击暴增。过去的12个月中,API攻击增加了681%,而整体API流量也增加了321%。根据Gartner的数据,到2024年API攻击还将加速并翻一番。 SaltSecurity的调查显示,超过三分之二的企业缺少基本的API安全策略。 企业的API安全管理未能覆盖SDLC生命周期,往往只是作为马后炮和附属品。 安全团队普遍缺乏专业的API管理工具和安全防护。 随着新技术(例如REST/GraphQL)的普及和新业务的发展,API数量不断增长, API管理正变得更加困难。 独特的安全挑战 API安全同时也是非常独特的挑战。首先,API是与企业业务关联最紧密,暴露和攻击风险最高,防护难度最大的技术组件之一。 其次,API带来了很多传统安全技术无法解决的挑战,例如API没有客户端组件,因此传统的防御技术(如Captchas或JavaScript)和移动SDK工具无法有效地防止自动攻击。 最后,随着企业数字化转型进入深水区,API数量不断增长,与此同时API每天都不断地被启动、更新或替换,这些都给API安全运营管理带来极大挑战。无数API安全事件表明,企业仅仅依赖互联网边界安全工具(例如WAF)和云负载保护平台已经无法有效应对API威胁的快速增长。 正因为其紧迫性、独特性和重要性,API安全正在被作为一个独立的安全项目和技术领域被企业和网络安全业界广泛重视,Gartner(WAAP)和OWASP都为API安全创建了单独的分类和威胁列表。 虽然目前市场上已经有大量网络安全厂商能够提供API安全相关产品方案,但对于企业用 户来说,了解并选择适合自身需求的API安全产品方案本身依然颇具挑战性。 API安全解决方案的选型 随着对API安全问题逐步重视、国家已经陆续出台多部数据接口有关的标准规范,对数据接口在不同领域的应用、部署、管理、防护进行了规范,API安全技术也得到大力发展,当前常见的技术从功能上看包含了API发现、API身份与访问控制、API消息安全、API传输安全、威胁缓解、API威胁检测、API安全审计、API监测与跟踪、API管理等几个方面。 从企业和供应商角度来看,API安全解决方案应遵循持续“发现、库存、合规、检测、防护 /响应、测试”的安全生命周期模型进行开发和部署: 发现:持续自动化的API发现,识别影子API、无记录API和过期API;识别API 配置错误及敏感数据泄露;API漏洞发现,开源组件漏洞发现等。 管理:统一管理API库存资产。 合规:确保遵循相关政策法规与风险治理策略和最佳安全实践 检测:攻击者识别与关联;不依赖威胁情报等静态元数据;行为检测与异常检测;数据泄露检测。 防护:身份与访问控制;攻击防护(例如OWASPAPITOP10);应用层DDoS(限速限流);凭证填充与暴力攻击;恶意请求,例如API流量分析与业务逻辑攻击。 响应:与SIEM和SOAR集成;攻击与泄密的溯源和追责。 测试:新API上线前检测、审计,从源头减少配置错误和安全漏洞。 在市场细分方面,API安全产品和解决方案主要分为CDN(不提供端到端安全性)和纯API 安全两大类,本指南收录的API安全方案大多属于纯API安全管控平台。 目前市场上的纯API安全产品和方案的常见功能和卖点如下: 可视化的统一管理与监控 业务零摩擦 发现内部、外部、僵尸、未知和影子API 监控攻击者侦察活动 阻止单个API攻击 阻止有针对性的API攻击 防范业务逻辑攻击 修补开发过程中的API漏洞 左移保护:在开发期间扫描和测试API安全性(应用程序开发) 运行时保护 防止数据泄露 识别错误配置的API 识别API中的漏洞并进行修复 基于机器学习的威胁防护 大数据和机器学习驱动的数据分析与优化 API安全产品方案的重点选型基准如下: 1.基于云原生架构(例如存储和分析),并面向微服务、容器技术等现代异构环境的API 安全需求。 2.API资产发现与管理。支持多种终端、架构、环境和协议的全域多维API资产发现能力,杜绝带病API(例如缺乏安全配置或配置错误的API)、影子API、过期API和意外暴露API(例如预生产API)。 3.与访问控制和运营系统的集成性。API安全最大的威胁之一就是用户身份滥用导致的攻击。因此API解决方案与IAM集成、零信任集成的能力非常重要,IAM和微分段可以极大提高资产库存准确性,避免系统性的网络瘫痪。API安全架构还应支持与其他网络组件,例如API管理平台、负载均衡、API网关、WAF等集成,以及与SIEM和SOAR等安全运营平台流程与组件的集成,提供端到端的安全防护,提高生产力降低运营成本。 4.左移覆盖。API安全在开发生命周期“左移”,覆盖从API设计到发布和运维的SDLC 全生命周期。 5.基于行为检测的API监控。日志记录和监控可以发现API错误和恶意API活动。应使用与标准安全工具兼容的日志格式,并且API日志数据应作为敏感数据传输和存 储。 6.基于人工智能和机器学习的数据分析,持续提升检测和响应能力。 为了帮助甲方做好API安全产品和服务的购买选型,推动甲方与安全厂商的互动交流,GoUpSec特发起了《API安全产品及服务购买决策参考》报告调研,我们深入了解调研了各厂商API安全产品及服务、产品功能、应用行业、成功案例、安全策略等维度,整理形成了《API安全产品及服务购买决策参考》。 本次报告共收录17家网络安全厂商,所涉及API安全产品及服务成功实施案例45例,分别来自政府、通信、公安、金融、银行、证券、汽车、医疗、保险、物流、安全、电商、商 旅、航空等重点行业。 以下位17家网络安全厂商API安全产品及服务详情,排名按照字母顺序。 Akamai阿卡迈 1.产品名称:AAP(ApplicationandAPIProtector) 2.产品特点及优势: 产品特点:基于Akamai边缘云安全解决方案 产品优势: 优势A:防护多种API攻击类型优势B:API主动防御模型 优势C:API发现 优势D:API防护+API管理 优势E:自适应防护引擎,自动化升级,全球互联网威胁情报 3.成功案例: AkamaiApp&APIProtector致力于全面保护Web和API资产,为此提供了一整套强大的保护措施,这些保护措施专为实现“以客户为中心”的自动化和简单性而构建。App&APIProtector在新的自适应安全引擎的支持下,依靠Akamai全球部署的边缘节点,从云端提供WebApp和API的安全防护服务,包括Web应用程序防火墙、爬虫程序抵御、API安全和DDoS防护等领域的核心技术。 AkamaiApp&APIProtector通过Web流量自动发现各种已知、未知和不断变化的API,包括其端点、定义和流量概况。对于API的监测能力有助于防范隐秘的攻击、发现错误并揭示意外的更改。此外,您只需点击几下鼠标,就能轻松登记新发现API。而最大的优点莫过于:无论您是否选择登记API请求,该产品会自动检查所有API请求,确定其中是否存在恶意代码,从而默认提供高度可靠的API安全性。而如果您登记了API,还可以通过高级安全管理选项得益于其他形式的保护,例如在边缘强制执行API规范。 AkamaiApp&APIProtector产品对于不同行业、不同API应用场景都有成功的案例。案例1:电商行业,有很多针对API接口的注入式攻击,在传统的防火墙中并不能有效检测API的payload,而Akamai的AAP产品可以深度核查URL,甚至解析Base64编码,从而有效发现隐藏在API中的各种攻击。AAP的机器学习的引擎可以自动化识别各种攻击类型,自动升级防护引擎并且有效利用全球的威胁情报系统进行多维度判断。 案例2:数字货币和支付行业,由于此类客户的API接口非常多,实时性要求非常高,API的业务也都是他们关键业务,对于DDoS的攻击非常敏感。AAP产品有针对API的DDoS攻击的有效解决方案,通过精准识别和流量限速功能,从而抵御攻击。 案例3:商旅客户,某商旅客户的APIlogin服务经常受到撞库类型的攻击,使得login服务的响应速度慢,还会带来客户隐私数据泄露的风险。APIpositivesecurity的功能,可以精确匹配API访问字段的格式,从而过滤掉非法的攻击请求,使得客户恢复正常业务。 Akamai拥有全面的API解决方案,对于API进行全面的防护、管理和优化。AAP(App&APIProtector)可以对上述多种API威胁进行防护;APIGW(APIGateway)可以加强API的认证和授权管理,同时可以对API的访问进行速率控制,减少流量攻击的威胁;APIX (APIAcceleration)是基于Akamai全球CDN平台的加速产品,专门适用对API请求的加速。AkamaiAPI安全整体方案架构请见下图。 4.适用行业:电商,游戏,高科技,媒体、互联网金融 5.写给甲方的寄语(甲方选购理由): 医疗客户: “Akamai是边缘安全领域的金牌标准。十多年来,他们一直为我们提供保护,产品创新和改进从未间断过。部署的WAF产品像瑞士军刀一样,可实现第7层保护。保证我们API应用的安全性,包括API,RESTAPI,Json,XML等协议,也帮助我们阻断爬虫攻击和大流量的攻击。” ——GartnerPeerInsights‘VoiceoftheCustomer’-WebApplicationFirewalls 非常感谢那些信任我们并将应用程序和业务交由我们来保护的客户。Akamai致力于不断创新和改进WAAP产品,以抢先一步防范威胁,同时提供部署和使用方面的无缝体验。我们认为,客户对我们成功的认可不仅进一步激励了我们,而且佐证了我们战略的正确性。 ——Akamai区域副总裁暨大中华区总经理李昇 6.联系人信息: 姓名:刘炅 职