API安全市场指南2024

API安全市场指南 2024 ©北京数字世界咨询有限公司2024.3 API安全市场指南 2024 ©北京数字世界咨询有限公司2024.3 数字安全是指，在全球数字化背景下，合理控制个人、组织、国家在各种活动中面临的数字风险，保障数字社会可持续发展*的政策法规、管理措施、技术方法等安全手段的总和。 这里的风险，不再局限于围绕数字化资产的攻防对抗，还包括了数字资产所承载业务的稳定性、连续性和健康性。这里的安全不再特指有意还是无意，天灾还是人祸，保安还是保险，而是更为广义的安全状态(SecSafe）。 *世界环境与发展委员会出版的《我们共同的未来》报告中，将可持续发展定义为：“既能满足当代人的需要，又不对后代人满足其需要的能力构成危害的发展。” ——数世咨询，2023年11月 以安全能力、数字资产和数字活动为三元素，以数据安全为核心目标，即三元一核的“数字安全三元论”。 “数字安全三元论”由“网络安全三元论”（数世咨询于2020年提出）更新迭代而来，旨在匹配数字中国建设的进程，保障数字基础设施稳定、可持续运行，保障数据有效流动、激发数据要素价值。 报告编委 主笔分析师：闫志坤数世咨询合伙人|市场分析师 首席分析师：李少鹏报告审核 分析团队：数世智库数字安全产业研究院 版权声明 本报告版权属于北京数字世界咨询有限公司。 任何转载、摘编或利用其他方式使用本报告文字或者观点，应注明来源。违反上述声明者，数世咨询将保留依法追究其相关责任的权利。 目录 前言1 关键发现2 1API安全概念3 1.1API安全的关键能力3 1.2其他安全能力4 2市场指南5 2.1能力企业５ 2.2市场概况６ 2.3需求分析９ 3未来发展趋势10 4API安全代表厂商优秀案例12 4.1某大型银行API安全管控项目案例12 本案例由瑞数信息提供 4.1.1项目背景12 4.1.2项目目标12 4.1.3项目方案13 目 录 4.1.4项目成效14 4.1.5项目创新点15 4.2某医院API安全防护项目案例17 本案例由青笠科技提供 4.2.1 项目背景 ……………………………………………………………………………17 4.2.2 防护目标 ……………………………………………………………………………17 4.2.3 防护方案 ……………………………………………………………………………18 4.2.4 项目成果 ……………………………………………………………………………18 4.3某金融机构一体化API安全监测与防护20 本案例由安胜华信提供 4.3.1项目背景20 4.3.2防护目标20 4.3.3防护方案21 4.3.5项目创新点23 前言 随着企业日益依赖API来提供对服务和数据的访问，他们对API安全保护的重视程度也与日俱增，API（应用程序编程接口）是现代软件开发的重要组成部分。它们是不同系统之间彼此通信以及共享数据和功能的“桥梁”。它为企业实现高效的数据共享、便捷的功能集成以及微服务架构改造等提供了技术支持，成为推动企业数字化转型的关键基础设施。 对API的日益依赖也使其成为网络犯罪分子最有吸引力的目标，通过攻击API来破坏信息系统和窃取数据，将成为数字时代黑产活动最集中的方向之一。然而，传统的API网关或WAF的防护已无法满足企业的API安全需求，数字时代需要专注于API的安全解决方案。 为了客观真实地反映API安全领域的市场及技术情况，数世咨询通过资料收集、问卷调研、企业访谈、市场数据分析等方法撰写《API安全市场指南报告》。本报告从应用创新力与市场执行力两大维度展现API安全厂商市场能力，同时，报告还对API安全概念、能力企业、市场概况、需求分析、未来发展趋势等角度进行了梳理与描述，供业内人士参考。 主笔分析师：闫志坤数世咨询合伙人|市场分析师勘误与合作联系：yanzhikun@dwcon.cn 关键发现 ●随着轻量级大数据技术的普及，促进了更多API安全产品涌现，新增了一批专注API安全的创新型企业； ●API安全面临的最大一项挑战是全量API资产的发现与识别，而如何做好自动阻断功能，已成为业界共同关注的焦点； ●目前API安全最大的应用场景是数据安全，除此之外，组织采购点需要主要集中在API资产发现与管理、风险监测、合规、访问控制、权限管理等方面； ●目前API安全行业需求主要集中在政府部委、运营商、金融、互联网企业、电力； ●在HW、重保、攻防演练等场景中，API已经成为重要的攻击目标，进而驱动了组织对API安全的需求； ●2023年国内API安全市场规模约为6.5亿元，预计2024年将达到10亿元。 1API安全概念 本指南中的API安全是指，以API生命周期为链条，在协议覆盖、资产梳理以及攻击检测的基础上，通过大数据分析、机器学习等技术，精准描绘出业务逻辑和数据流向，进而整合各种安全资源，以达到威胁预防、攻击阻断以及敏感数据泄漏防护等目的。 1.1API安全的关键能力 API资产发现与管理 通过流量分析、读取API文档和配置、代码分析等多种技术手段，对多种API格式进行全面API资产识别发现（包括影子API和僵尸API）、归拢聚合并实时更新，是做好API安全防护的先决条件，也是API安全面临的最大挑战之一。API资产发现与管理贯穿整个API生命周期，其中主要工作包括业务API识别、分类打标、账号管理、容器API识别、资产拓扑等。 攻击防护 API安全产品要能够阻止针对API协议的攻击，除了plainHTTP、REST等可复用传统安全能力的协议之外，仍有诸多协议标准，如GRPC、Dubbo、GraphQL等；还要能够阻断WEB攻击，尤其是针对OWASPAPISecurityTop10中定义的网络攻击。API安全产品应该能够检测到针对身份认证、授权攻击，以及其他类型的授权攻击。它还应该能够检测到过度的数据暴露、缺乏资源或速率限制、安全错误配置、注入缺陷和批量分配缺陷等。此外，风险实时处置能力，如自动阻断或与现有安全处置系统联动形成闭环的能力，已成为业界共同关注的焦点。 数据安全和隐私管理 数据管理也是API安全关键能力之一，需要具备敏感数据检测、数据地图、数据流转、数据出境、数据溯源等能力；同时要对敏感数据分级分类，满足《数据安全法》和《个人信息保护法》等合规要求，须根据不同业务场景对敏感数据进行分类和分级；数据隐私方面，通过加密技术、访问控制策略等手段，保护API传输的数据不被未经授权的用户访问或篡改和防范数据泄露。 智能分析 运行时防护：安全管控平台需要对API运行时的流量进行监测和防护，要实现这样的能力就需要了解API的访问、使用和行为，了解API安全环境的所有复杂性，解析日志、获取目录数据、审查配置、安全测试和评估设备配置等过程，利用综合数据解析API业务逻辑和行为，将其统一进行风险研判后，评估对API安全态势的影响，最后作出反馈动作。当然，AI/ML是需要时间去学习和改进的，对于行为分析来说，越早部署，安全效能的发挥就能越早体现。 攻击预防：在AI\ML的协助下高频的收集和持续分析API流量，并与每个源IP地址、每个用户和每个会话的攻击行为联系起来。因为攻击者在早期都会被动地、隐蔽地进行目标探测。还通常对客户端应用程序代码进行逆向工程以了解后端API的功能以及如何与之通信，这种被动分析技术可以逃避大多数检测，因为它们通常是作为合法流量出现的。而API安全产品应该能够检测到这样流量的细微变化，达到早期攻击预防的目的。 1.2其他安全能力 ●应用威胁感知能力 ●运维降噪能力 ●情报输入输出能力 ●低代码/无代码防护拓展能力 2市场指南 入选本报告的API安全厂商（按公司简称首字母排序）：安胜华信、安络科技、梆梆安全、保旺达、边界无限、从云科技、大拙信息、观安信息、联软科技、绿盟科技、美创科技、奇安信、青笠科技、全知科技、瑞数信息、上海喜数、深信达、数安行、腾讯安全、威胁猎人、芯盾时代、星阑科技、亿格云，共23家。 2.1能力企业 根据厂商在API安全营收占比、业务专注度等多维度因素，将其划分为专业赛道厂商、综合业务厂商两大类，横坐标是市场执行力、纵坐标是应用创新力为依据，通过能力点阵图的方式展现如下： 图1专业赛道厂商 专业赛道厂商是指专注于API安全领域，核心业务围绕API安全产品、占据公司主要营收，在API安全市场具有一定影响力、同行/客户推荐度较高的企业。 图2综合业务厂商 综合业务厂商是指业务范围广泛，不局限于API安全产品，通常将API安全产品与其他安全产品集成形成更全面的解决方案，满足客户多样化的安全需求。 API安全点阵图横坐标“市场执行力”包括市场营收、品牌影响力、行业广度、行业深度等维度，纵坐标“应用创新力“包括产品工程化、业务场景化、理论与基础研究、技术融合度、业务纯净度等维度。 2.2市场概况 目前API安全在国内市场处于“新兴市场”。在数世咨询《中国数字安全能力图谱2024》属于“应用场景安全”方向中“互联网业务安全”的二级分类。 图3在《中国数字安全能力图谱2024》位置 图4近五年API安全市场规模 据本次调研统计，2023年API安全市场规模约在6.5亿元，根据参与调研的各安全厂商对本年API安全产品收入情况预估，预计2024年API市场规模预计达到10亿元左右，API安全市场仍处于发展初期，未来增长潜力巨大。 图5API安全产品交付模式占比 其中产品作为单一标准化产品交付方式占48%，定制化产品交付及运营占22%，作为安全项目中的一个功能进行交付占28%，订阅模式占2%。 图6API安全产品在各行业应用情况 根据调研结果，国内各行业组织对API安全的投入情况如下所示，前五名行业分别为政府部委（28%）、运营商（19%）、金融（11%）、互联网企业（10%）、电力（9%）。这些数据表明政府和涉及重要基础设施的行业对API安全需求和投入更为显著，特别是在HW、重保、攻防演练等场景中，API已经成为重要的攻击目标，因此，API安全在保障数据和服务的安全方面具有至关重要的作用。 此外，互联网企业由于自身业务特殊性、复杂性，部分头部企业采用了自主研发API安全产品，来满足自身使用需求。 图7API安全产品主要客户覆盖地区 此外，API安全产品主要客户的覆盖区域也存在鲜明的特征，其中华南地区（27%），华东地区（28%），华北地区（21%）为主要的客户所在地区。这些地区在API安全产品客户中占据显著份额，反映出对API安全的明显需求。这种需求增长可能部分归因于这些地区拥有大量科技企业、互联网公司和其他高度依赖API的组织。 高占比的地区表明API安全提供商需要特别关注这些地区，提供个性化的市场推广和客户支持，以满足这些地区客户的需求。同时，也需要不断探寻其他地区的潜在机会，以扩展市场份额。 2.3需求分析 根据本次调研，数世咨询分析得出，目前国内组织采购API安全相关解决方案的需求主要围绕以下几个方面： API资产发现与管理：全面梳理API资产，实现全生命周期管理，包括API发现、分类分级、变更管理等，难点在于影子API和僵尸API的发现和管理。 API风险监测：识别API漏洞、数据安全风险和异常行为，并及时采取措施进行修复和防护。 API访问控制：实施细粒度的访问控制和权限管理，确保只有授权用户和应用程序才能访问API资源。 数据安全：保护API传输和存储的敏感数据，包括数据加密、脱敏和防泄漏。 安全合规：满足相关数据安全法规和行业标准的要求，提供合规性检查和报告功能，帮助企业满足合规性要求。 3未来发展趋势 1、数据合规和隐私保护愈加严格驱动API安全落地 随着政府和行业对API安全监管力度将不断加强，相应的法规和标准不断完善，企业必须重视API合规性，以规避监管风险。特别是数据分类分级、数据安全出境等方面，企业需要建立健全的API安全管理