瑞数 API 安全审计系统

2024-05-13

　　API Sec Audit

　　以 API 资产管理为重点、API 安全审计为核心，帮助企业识别和管理 API 资产、检测 API安全攻击、识别 API 请求中的敏感数据、监测 API 运行状态、审计 API 访问行为及识别API 应用缺陷。

　　API 安全诉求成为关键

　　在“万物皆可 API”的时代，通过 API 快速构建产品和服务、迅速响应客户需求已是数字化企业的必备技能。但同时，API 承载着越来越复杂的应用程序逻辑和越来越多敏感数据的特征，也使得 API 成为黑客攻击的重点目标。

　　当前 API 应用广泛，业务逻辑复杂，涉及数据量大，一旦发生安全事件，可能给政府、企业、用户带来严重影响。《网络安全法》、《个人信息保护法》、《数据安全法》正式施行带来的合规监管压力，促使企业必须加强 API 安全建设，保障数据安全。

　　瑞数 API 安全审计系统(API Sec Audit)

图片1.png

　　防护场景

　　API 资产自动发现

　　通过对 API 流量分析，自动发现流量中的网站、端口、API 资产和敏感接口，支持自定义 API 接口规则，快速、精准的进行 API 接口自动识别、API 接口样式提取并提供API 接口可视化展示，支持 API 接口分类、分组并指派责任人，实现数据分权管理。

　　API 安全攻击检测

　　对 API 接口进行检测和监控，以发现和防范针对 API 接口的安全攻击。系统从海量访问中快速发现和定位安全风险事件，覆盖 OWASP API Security Top10，支持 API 异常行为检测和参数合规检测，快速应对诸如爬虫、撞库等各类API业务安全威胁。

　　API 敏感数据监控

　　内置敏感数据检测引擎，覆盖姓名、手机号、身份证、银行卡、密码等超多上百种敏感数据类型，内置电信和金融行业数据分级，支持敏感数据自动分级，实时洞察 API接口中双向传输的敏感数据、明文密码和弱密码等数据泄漏风险，对 API 接口传输的敏感数据进行记录、分析和审查，以保证敏感数据的安全传输。

　　API 运行状态监控

　　对 API 接口的运行状态进行实时监控和管理，包括对 API 接口的可用性、响应时间、错误率等指标进行监控和分析。通过 API 运行状态监控，可以及时发现和解决 API 接口的问题，保证 API 的稳定性和可靠性，提高系统的可用性和性能。

　　API 访问行为审计

　　对 API 接口的访问行为进行监控和审计，包括对 API 接口的请求、响应、参数和返回值等进行记录、分析和审查。建立 API 访问基线，识别偏离基线和异常的访问行为，如：高频访问、内网应用访问互联网等;同时，自动识别Bot访问行为，对 Bot 类型进行分类，更有效的实现访问行为审计，从而及时发现和解决问题，保证API接口的正常访问。

　　API 应用缺陷识别

　　API应用缺陷指的是在 API 应用中存在的安全问题，如未鉴权、明文密码、脱敏策略不一致等。瑞数 API 安全审计系统内置 API 应用缺陷检测模板，通过流量分析和检测，发现和识别 API 应用中的缺陷问题，从而方便开发部门及时进行修复和优化。瑞数 API 安全审计系统可以全面、系统地对 API 应用进行缺陷识别，内置应用缺陷处理工作流，帮助企业提高 API 应用的安全性。

　　API 安全审计报表

　　系统提供了丰富的 API 安全报表，通过内嵌的报表功能为用户提供 API 安全专项报表，如 API 风险总览、API 攻击报表、API 缺陷报表、API 敏感数据报表等。

　　API 安全审计报表可总结和分析 API 接口的安全状况和存在的安全风险，同时提出改进和优化建议，以保证 API 接口的安全性和可靠性。通过对 API 接口的安全性进行审计并生成报表，可以及时发现和解决 API 接口的安全问题，提高系统的安全性和可靠性。

　　核心优势

　　API 接口精准识别

　　内置API接口识别规则，支持自定义API接口，方便用户自定义API接口;

图片1.png