為發展金融信創以保障金融行業本質安全,聯動深圳、上海兩地金融人才交流、促進行業信創實踐落地,8月4日,“2023滬深金融信創發展與推進專題閉門研討會”在上海圓滿落幕。
瑞數信息高級安全專家仇敏華髮表《信創環境下針對API的安全審計及治理對策》主題演講
本次會議基於數字經濟蓬勃發展的背景,結合我國關鍵領域核心技術嚴重依賴海外廠商的問題,邀請到了包括銀行、證券、基金、信託等金融行業的專家及領導參會,針對解決金融產業關鍵技術環節“卡脖子”問題,吸取各企業發展金融信創的經驗進行交流分享及專題研討。
API安全問題嚴峻
在“萬物皆可API”的時代,通過API快速構建產品和服務、迅速響應客戶需求已是數字化企業的必備技能。但同時,API承載着越來越複雜的應用程序邏輯和越來越多敏感數據的特徵,也使得API成為黑客攻擊的重點目標。
當前,API應用廣泛、業務邏輯複雜、涉及數據量大,一旦發生安全事件,可能給政府、企業、用戶帶來嚴重影響。《網絡安全法》《個人信息保護法》《數據安全法》正式施行帶來的合規監管壓力,也促使企業必須加強API安全建設,保障數據安全。
瑞數 API 安全審計系統
(API SecAudit)
對此,瑞數信息推出瑞數 API 安全審計系統(API SecAudit),以API資產管理為重點、API安全審計為核心,幫助企業自動發現API資產、檢測API安全攻擊、識別API請求中的敏感數據、監測API運行狀態、審計API訪問行為、識別API應用缺陷,提供豐富的API安全審計報告。
瑞數 API 安全審計系統
(API SecAudit)產品功能
01 API資產自動發現
通過對API流量分析,自動發現流量中的網站、端口、API資產和敏感接口,支持自定義 API接口規則,快速、精準地進行API接口自動識別、API接口樣式提取並提供API接口可視化展示,支持API接口分類、分組並指派責任人,實現數據分權管理。
02 API安全攻擊檢測
對API接口進行檢測和監控,以發現和防範針對API接口的安全攻擊。系統從海量訪問中快速發現和定位安全風險事件,覆蓋OWASP API Security Top10,支持API異常行為檢測和參數合規檢測,快速應對諸如爬蟲、撞庫等各類API業務安全威脅。
03 API敏感數據監控
內置敏感數據檢測引擎,覆蓋姓名、手機號、身份證、銀行卡、密碼等超多上百種敏感數據類型,內置電信和金融行業數據分級,支持敏感數據自動分級,實時洞察API接口中雙向傳輸的敏感數據、明文密碼和弱密碼等數據泄漏風險,對API接口傳輸的敏感數據進行記錄、分析和審查,以保證敏感數據的安全傳輸。
04 API運行狀態監控
對API接口的運行狀態進行實時監控和管理,包括對API接口的可用性、響應時間、錯誤率等指標進行監控和分析。通過API運行狀態監控,可以及時發現和解決API接口的問題,保證API的穩定性和可靠性,提高系統的可用性和性能。
05 API訪問行為審計
對API接口的訪問行為進行監控和審計,包括對API接口的請求、響應、參數和返回值等進行記錄、分析和審查。建立API訪問基線,識別偏離基線和異常的訪問行為,如:高頻訪問、內網應用訪問互聯網等;同時,自動識別Bot訪問行為,對Bot類型進行分類,更有效地實現訪問行為審計,從而及時發現和解決問題,保證API接口的正常訪問。
06 API應用缺陷識別
API應用缺陷指的是在API應用中存在的安全問題,如未鑒權、明文密碼、脫敏策略不一致等。瑞數API安全審計系統內置API應用缺陷檢測模板,通過流量分析和檢測,發現和識別 API應用中的缺陷問題,從而方便開發部門及時進行修復和優化。瑞數API安全審計系統可以全面、系統地對API應用進行缺陷識別,內置應用缺陷處理工作流,幫助企業提高API應用的安全性。
07 API安全審計報表
系統提供了豐富的API安全報表,通過內嵌的報表功能為用戶提供API安全專項報表,如 API風險總覽、API攻擊報表、API缺陷報表、API敏感數據報表等。
API安全審計報表可總結和分析API接口的安全狀況和存在的安全風險,同時提出改進和優化建議,以保證API接口的安全性和可靠性。通過對API接口的安全性進行審計並生成報表,可以及時發現和解決API接口的安全問題,提高系統的安全性和可靠性。
