© 北京数字世界咨询有限公司 2024.3 API 安全市场指南2024 数字安全是指,在全球数字化背景下,合理控制个人、组织、国家在各种活动中面临的数字风险,保障数字社会可持续发展 * 的政策法规、管理措施、技术方法等安全手段的总和。 这里的风险,不再局限于围绕数字化资产的攻防对抗,还包括了数字资产所承载业务的稳定性、连续性和健康性。这里的安全不再特指有意还是无意,天灾还是人祸,保安还是保险,而是更为广义的安全状态 (SecSafe)。 * 世界环境与发展委员会出版的《我们共同的未来》报告中,将可持续发展定义为:“既能满足当代人的需要,又不对后代人满足其需要的能力构成危害的发展。” ——数世咨询,2023 年 11 月 以安全能力、数字资产和数字活动为三元素,以数据安全为核心目标,即三元一核的“数字安全三元论”。 “数字安全三元论”由“网络安全三元论”(数世咨询于 2020 年提出)更新迭代而来,旨在匹配数字中国建设的进程,保障数字基础设施稳定、可持续运行,保障数据有效流动、激发数据要素价值。 报告编委 主笔分析师:闫志坤数世咨询合伙人 | 市场分析师首席分析师:李少鹏报告审核分 析 团 队:数世智库数字安全产业研究院 版权声明 本报告版权属于北京数字世界咨询有限公司。任何转载、摘编或利用其他方式使用本报告文字或者观点,应注明来源。违反上述声明者,数世咨询将保留依法追究其相关责任的权利。 目录 前 言…………………………………………………………………………………1 关键发现……………………………………………………………………………2 1.1API 安全的关键能力 ………………………………………………………… 31.2 其他安全能力 ………………………………………………………………… 4 2市场指南 ………………………………………………………………………… 5 2.1 能力企业 ……………………………………………………………………… 52.2市 场 概 况…………………………………………………………………… 62.3需 求 分 析…………………………………………………………………… 9 3未 来 发 展 趋 势……………………………………………………………10 4API 安全代表厂商优秀案例………………………………………………12 4.1 某大型银行 API 安全管控项目案例 …………………………………… 12 本案例由瑞数信息提供4.1.1 项目背景 ……………………………………………………………………………… 124.1.2项 目 目 标…………………………………………………………………………… 124.1.3项 目 方 案…………………………………………………………………………… 13 目录 4.1.4项 目 成 效…………………………………………………………………………… 144.1.5项 目 创 新 点………………………………………………………………………… 15 4.2.1 项目背景 …………………………………………………………………………… 174.2.2 防护目标 …………………………………………………………………………… 174.2.3 防护方案 …………………………………………………………………………… 184.2.4 项目成果 …………………………………………………………………………… 18 4.3 某金融机构一体化 API 安全监测与防护 ……………………………… 20 4.3.1 项目背景 …………………………………………………………………………… 204.3.2 防护目标 …………………………………………………………………………… 204.3.3 防护方案 …………………………………………………………………………… 214.3.5项 目 创 新 点……………………………………………………………………… 23 前言 随着企业日益依赖 API 来提供对服务和数据的访问,他们对API安全保护的重视程度也与日俱增,API(应用程序编程接口)是现代软件开发的重要组成部分。它们是不同系统之间彼此通信以及共享数据和功能的“桥梁”。它为企业实现高效的数据共享、便捷的功能集成以及微服务架构改造等提供了技术支持,成为推动企业数字化转型的关键基础设施。 对API的日益依赖也使其成为网络犯罪分子最有吸引力的目标,通过攻击 API 来破坏信息系统和窃取数据,将成为数字时代黑产活动最集中的方向之一。然而,传统的 API 网关或 WAF 的防护已无法满足企业的 API 安全需求,数字时代需要专注于 API 的安全解决方案。 为了客观真实地反映 API 安全领域的市场及技术情况,数世咨询通过资料收集、问卷调研、企业访谈、市场数据分析等方法撰写《API 安全市场指南报告》。本报告从应用创新力与市场执行力两大维度展现 API 安全厂商市场能力,同时,报告还对 API 安全概念、能力企业、市场概况、需求分析、未来发展趋势等角度进行了梳理与描述,供业内人士参考。 关键发现 ●随着轻量级大数据技术的普及,促进了更多 API 安全产品涌现,新增了一批专注 API 安全的创新型企业; ●API 安全面临的最大一项挑战是全量 API 资产的发现与识别,而如何做好自动阻断功能,已成为业界共同关注的焦点; ●目前 API 安全最大的应用场景是数据安全,除此之外,组织采购点需要主要集中在 API 资产发现与管理、风险监测、合规、访问控制、权限管理等方面; ●目前 API 安全行业需求主要集中在政府部委、运营商、金融、互联网企业、电力; ●在 HW、重保、攻防演练等场景中,API 已经成为重要的攻击目标,进而驱动了组织对 API 安全的需求; ●2023 年国内 API 安全市场规模约为 6.5 亿元,预计 2024 年将达到 10亿元。 1API 安全概念 本指南中的 API 安全是指,以 API 生命周期为链条,在协议覆盖、资产梳理以及攻击检测的基础上,通过大数据分析、机器学习等技术,精准描绘出业务逻辑和数据流向,进而整合各种安全资源,以达到威胁预防、攻击阻断以及敏感数据泄漏防护等目的。 1.1API 安全的关键能力 API 资产发现与管理 通过流量分析、读取 API 文档和配置、代码分析等多种技术手段,对多种 API 格式进行全面 API 资产识别发现(包括影子 API 和僵尸 API)、归拢聚合并实时更新,是做好 API 安全防护的先决条件,也是 API 安全面临的最大挑战之一。API 资产发现与管理贯穿整个 API 生命周期,其中主要工作包括业务API 识别、分类打标、账号管理、容器 API 识别、资产拓扑等。 攻击防护 API 安全产品要能够阻止针对 API 协议的攻击,除了 plainHTTP、REST等可复用传统安全能力的协议之外,仍有诸多协议标准,如 GRPC、Dubbo、GraphQL 等;还要能够阻断 WEB 攻击,尤其是针对 OWASPAPI Security Top10 中定义的网络攻击。API 安全产品应该能够检测到针对身份认证、授权攻击,以及其他类型的授权攻击。它还应该能够检测到过度的数据暴露、缺乏资源或速率限制、安全错误配置、注入缺陷和批量分配缺陷等。此外,风 险 实 时 处置能力,如自动阻断或与现有安全处置系统联动形成闭环的能力,已成为业界共同关注的焦点。 数据安全和隐私管理 数据管理也是 API 安全关键能力之一,需要具备敏感数据检测、数据地图、数据流转、数据出境、数据溯源等能力;同时要对敏感数据分级分类,满足《数据安全法》和《个人信息保护法》等合规要求,须根据不同业务场景对敏感数据进行分类和分级;数据隐私方面,通过加密技术、访问控制策略等手段,保护 API 传输的数据不被未经授权的用户访问或篡改和防范数据泄露。 智能分析 运行时防护:安全管控平台需要对 API 运行时的流量进行监测和防护,要实现这样的能力就需要了解 API 的访问、使用和行为,了解 API 安全环境的所有复杂性,解析日志、获取目录数据、审查配置、安全测试和评估设备配置等过程,利用综合数据解析 API 业务逻辑和行为,将其统一进行风险研判后,评估对 API 安全态势的影响,最后作出反馈动作。当然,AI/ML 是需要时间去学习和改进的,对于行为分析来说,越早部署,安全效能的发挥就能越早体现。 攻击预防:在 AI\ML 的协助下高频的收集和持续分析 API 流量,并与每个源 IP 地址、每个用户和每个会话的攻击行为联系起来。因为攻击者在早期都会被动地、隐蔽地进行目标探测。还通常对客户端应用程序代码进行逆向工程以了解后端 API 的功能以及如何与之通信,这种被动分析技术可以逃避大多数检测,因为它们通常是作为合法流量出现的。而 API 安全产品应该能够检测到这样流量的细微变化,达到早期攻击预防的目的。 1.2其他安全能力 ●应用威胁感知能力●运维降噪能力●情报输入输出能力●低代码 / 无代码防护拓展能力 2市场指南 入选本报告的 API 安全厂商(按公司简称首字母排序):安胜华信、安络科技、梆梆安全、保旺达、边界无限、从云科技、大拙信息、观安信息、联软科技、绿盟科技、美创科技、奇安信、青笠科技、全知科技、瑞数信息、上海喜数、深信达、数安行、腾讯安全、威胁猎人、芯盾时代、星阑科技、亿格云,共 23 家。 2.1能力企业 根据厂商在 API 安全营收占比、业务专注度等多维度因素,将其划分为专业赛道厂商、综合业务厂商两大类,横坐标是市场执行力、纵坐标是应用创新力为依据,通过能力点阵图的方式展现如下: 专业赛道厂商是指专注于 API 安全领域,核心业务围绕 API 安全产品、占据公司主要营收,在 API 安全市场具有一定影响力、同行 / 客户推荐度较高的企业。 综合业务厂商是指业务范围广泛,不局限于 API 安全产品,通常将 API 安全产品与其他安全产品集成形成更全面的解决方案,满足客户多样化的安全需求。 API 安全点阵图横坐标“市场执行力”包括市场营收、品牌影响力、行业广度、行业深度等维度,纵坐标“应用创新力“包括产品工程化、业务场景化、理论与基础研究、技术融合度、业务纯净度等维度。 2.2市场概况 目前 API 安全在国内市场处于“新兴市场”。在数世咨询《中国数字安全能力图谱 2024》属于“应用场景安全”方向中“互联网业务安全”的二级分类。 据本次调研统计,2023 年 API 安全市场规模约在 6.5 亿元,根据参与调研的各安全厂商对本年 API 安全产品收入情况预估,预计 2024 年 API 市场规模预计达到 10 亿元左右,API 安全市场仍处于发展初期,未来增长潜力巨大。 其中产品作为单一标准化产品交付方式占 48%,定制化产品交付及运营占22%,作为安全项目中的一个功能进行交付占 28%,订阅模式占 2%。 根据调研结果,国内各行业组织对 API 安全的投入情况如下所示,前五名行业分别为政府部委(28%)、运营商(19%)、金融(11%)、互联网企业(10%)、电力(9%)。这些数据表明政府和涉及重要基础设施的行业对 API 安全需求和投入更为显著,特别是在 HW、重保、攻防演练等场景中,API 已经成为重要的攻击目标,因此, API 安全在保障数据和服务的安全方面具有至关重要的作用。 此外,互联网企业由于自身业务特殊性、复杂性,部分头部企业采用了自主研发 API 安全产品,来满足自身使用需求。 此外,API 安全产品主要客户的覆盖区域也存在鲜明的特征,其中华南地区(27%),华东地区(28%),华北地区(21%)为主要的客户所在地区。这些地区在 API 安全产品客户中占据显著份额,反映出对 API 安全的明显需求。这种需求增长可能部分归因于这些地区拥有大量科技企业、互联网公司和其他高度依赖 API