慧御云防护-聚焦API安全

API（Application Programming Interface）即应用程序编程接口，是一组定义、程序及协议的集合，通过API接口实现计算机软件之间的相互通信。互联网时代，API 无处不在，无处不用，比如当你打开网页时，会触发几十甚至上百个API，数据查询，系统间交互，文件上传下载等，API都发挥了至关重要的作用。在API技术带来积极作用的同时，与其相关的数据安全问题也日益凸显，API也将成为应用安全领域除Web应用外的下一个核心保护对象。

Salt Labs发布的2023年第一季度《API安全态势研究报告》显示，94%的受访企业在过去一年经历过生产系统中的API安全问题，17%的受访者表示他们所在的企业组织由于API安全漏洞而发生了数据泄露。报告还发现，在过去的6个月时间里，API攻击活动数量快速增长了400%，其中有78%的攻击发生在经过初步安全性验证的API上。研究人员表示，API威胁态势仍在持续加剧，其安全性将在2023年成为企业组织安全运营团队关注的重点。

面对如此之多的API攻击，OWASP也高度关注API风险，在2019年首次提出了API Security Top 10，到2023年又发布了API Security Top 10的内容更新。一方面体现出当前常见的API攻击场景；另一方面，也对API的开发及安全人员给出有效指导，排查组织的API中是否存在类似的业务逻辑缺陷。

面对API权限管理、资产管理、业务风控等问题，需要我们在原有WAF能力的基础上，支持对 API 资产进行梳理，发现API漏洞和风险，识别和阻断 API 的攻击，构建和实现更完善的API安全策略，降低重要数据资产的泄漏风险。在此背景下，慧御网站安全云防护系统在原有安全防护能力基础上，针对API接口提供细粒度梳理与精细化防护，帮助用户构建完整的API全生命周期安全方案。减少企业API漏洞入侵、数据泄露风险的发生。

1

API资产发现及管理

通过对流量智能分析，自动发现流量中存在的API接口，并提供可视化的详情展示，包括业务标签、请求方法、资产分类、请求路径等，同时支持API资产的手动添加、导入及导出，方便客户对API服务进行全生命周期管理。

2

API安全防护

使用智能异常检测模型对所有请求IP进行持续的异常等级分析，提供三档级别的防护策略；同时，根据API接口的访问行为，基于不同的应用场景，提供可基于访问频率、跨域请求、格式校验等检测模型灵活制定防护策略，并通过拦截、限速、黑白名单等处理方式实现防护。

3

API鉴权管理

API应经过前置鉴权才能被访问。产品通过加强对访问逻辑的控制，采用JS挑战、Captcha挑战等手段，确保对API的调用均已经通过了鉴权而非直接访问。

4

API数据报表

采用大数据分析技术，高效统计各个业务的API活动情况，包括总 API 数，活跃 API 数，风险 API 数，总请求数，风险请求数，风险事件数，白名单命中数等，同时支持报表的导出。

为应对API复杂多变的风险场景，慧御云防护会持续优化防护技术与方案，为企业线上业务提供坚实的安全防护。