喜数API安全服务

API已经几乎在全世界被开发和调用。与此同时，伴随着API商业价值与自身承载业务与数据交互能力的不断跃升，安全形势变得愈发严峻。相对传统安全隔离与纵深防护的体系，利用API“绿色通道”进行商业机密与个人信息数据窃取等网络攻击，攻击路径、成本显著降低，因此针对API的网络攻击迅速受到内外部威胁的“青睐”而成为首选目标。

API安全服务可以在API开发全生命周期的规划、创建、验证、试运行、发布、配置和监控的各个环节，提供了全方位的服务来确保API的安全性。包括：API开发规范培训，API资产梳理、异常行为标准制定、异常调用检查、API脆弱性分析、数据分类分级标准制定、数据分类分级、敏感数据检查、规则优化、报告服务等，帮助企业了解、发现、梳理以及展示API资产和API安全风险。

覆盖全生命周期得API安全服务

 

API开发规范培训

喜数在API开发方面，基于国家规定并经过多年的研究和实践，对API开发过程进行了全面的规范，同时对开发人员提供培训和考核服务，以确保他们熟悉并遵守API开发规范，从而提高API的安全性和质量。

API资产梳理

▪  对API及其相关资源（如源IP、账号、应用、数据等）进行梳理和分类，以便全面了解和管理这些资产

▪  发现闲置、隐藏的API资产，以及存在的潜在风险和漏洞

▪  整理出API资产间的调用关系

异常行为标准制定

对应用系统及业务场景进行调研，结合业务功能及业务逻辑，建立异常行为的检测标准，精确匹配用户业务场景。

异常调用检查

▪  对应用程序接口实时监控，识别用户访问来源、分析数据的来源和去向、绘制账号画像、接口画像和接口访问轨迹，实时发现用户风险行为，进行异常风险预警、风险展示，实现API风险可视化

▪  对异常行为可基于业务流量实现细化分析，通过API、账号、IP等维度进行时间范围的访问分析，分析对应主体在此时间内的行为轨迹及详细内容，对异常账号或IP进行持续跟踪，实现精准的溯源与反制

▪  根据用户应用系统实际使用环境，可定制开发风险检测模型

API脆弱性分析

▪  设计安全漏洞扫描和漏洞修复方案，定期对API进行安全漏洞扫描，并及时修复已知的安全漏洞

▪  设计完善的安全漏洞响应计划，定义明确的漏洞报告和修复流程，以及紧急漏洞修复的时间表

数据分类分级标准制定

▪  对企业各业务部门进行数据摸底调研

▪  整理企业所在行业对数据安全所要求的法律法规

▪  根据调研结果及行业法律法规要求，制定数据分类分级标准

数据分类分级

▪  用分类分级产品，根据分类分级的标准对数据资产加上标签

▪  人工进行数据分类分级的审核及调优

▪  建立数据分类分级保护策略

敏感数据检查

▪  敏感数据识别，通过关键字、字典、正则脚本、机器学习、数据模板、指纹等多种技术，精准识别应用程序接口调取时所携带的敏感数据

▪  敏感数据泄漏举证，对数据访问行为进行全面记录，对泄漏的数据内容进行溯源分析，实现对泄漏事件的有效管理，满足合规监管，减少数据泄漏所造成的损失

规则优化

聚焦用户应用环境及业务场景，根据用户业务发展，调整异常行为和数据安全分析策略，灵活适配用户个性化业务场景。

报告服务

▪  API资产梳理报告—梳理应用系统的API资产状况，对API及相关资源分类标签及资源画像，理清资产状况，明确资产间的关联关系

▪  API脆弱性分析报告—利用分析工具扫描应用系统API，发现API中存在的安全隐患，提出修复建议

▪  异常行为报告—定位到流量中针对应用系统的异常行为，从行为结果状态、关联系统、影响数据范围等多种维度生成报告

▪  数据安全分析报告—发现数据资产，定位数据资产位置，梳理数据与API的关联关系，提出合理化建议