API安全管控平臺可有效提升API安全管理能力

距離《數據安全法》施行已經過去1個月，作為我國首部數據安全專門的法律，它對企業的數據處理、安全保護、開發利用等都提出了合規要求。在此之下，各企業也積極開展行動嚴格踐行法規。

API作為連接數據和應用之間的重要通道，目前已是數據泄露頭號風險，進行API安全管控成為保障數據安全的關鍵路徑。在過去的一個月里，以精準情報為驅動的永安在線API安全管控平臺價值全面釋放，賦能眾多企業實現從API資產自動化管理、API風險主動感知到攻擊溯源的閉環安全管控，解除了因API安全側風險造成的數據安全威脅。

 某金融企業API安全管控落地實踐 

以某金融企業為例。由于其業務屬性，需要在互聯網上開放大量API來支撐客戶服務和對外合作，但安全團隊當前并沒有針對性的API管理體系對整體業務API進行有效的管理和分析，導致出現API資產管理難題，如：有多少API對外開放？有多少敏感數據？有什么類型數據？是什么等級的數據？

此外，大量API對外提供服務，導致數據（姓名、手機號、銀行卡號等）暴露在外部，為黑產提供了更多可趁之機。一方面，黑產利用正常業務接口進行撞庫攻擊、數據竊取等；另一方面，企業的線上營銷活動遭遇“薅羊毛”，獎勵大部分被黑產薅走，甚至出現活動頁面崩潰的情況，極大影響著業務拓展。

因此該金融企業迫切需要采用針對性的API安全管控體系來應對當前的業務安全風險，確保業務安全合規。

針對該企業面臨的挑戰和需求，永安在線為其打造了一套可準確感知未知風險、風險解釋性強、能溯源打擊、運營成本低的API安全管控平臺。

平臺基于業務安全情報能力所構建，擁有API資產管理、API風險主動感知和API風險溯源三大能力，能夠讓企業全面感知API運行，清晰掌握數據資產的風險狀態，并準確識別未知風險及溯源攻擊，解決API從上線、服務到廢棄全生命周期會面臨的各種安全風險，為企業的數據核心資產提供全面的保護。

01 API資產管理：全量API發現與涉敏API準確管控

通過全流量數據接入和分析，使用先進的圖模型技術，自動化對API流量日志中的請求進行路徑轉義歸類，不依賴業務配置，幫助該企業自動地發現業務潛在的API接口，并進行梳理、盤點，通過清晰的API可視化展示方式幫助安全部門了解API資產現狀，實時感知每個API接口的訪問情況，并進行管控。

此外，可實現自動化檢測API傳輸中的數據涉敏情況，幫助業務部門進行有針對性的保護。系統內置各行業最常用的數十種常用敏感數據類型，包括姓名、身份證、手機號、銀行卡等，并支持業務方動態自定義敏感字段的檢測要求。

02 API風險感知：基于情報精準感知未知風險

API安全管控平臺的底層邏輯是基于永安在線精準的攻擊情報來進行API流量分析審計，并結合機器學習、大數據分析等技術，能夠將隱藏在海量正常業務流量中的異常流量準確識別出來，掃除以經驗規則運營為主的傳統API風險防控產品容易產生的風險漏判、誤判等弊端。

03 API風險溯源：風險可解釋，支持攻擊上游溯源

平臺能夠支持攻擊上游定位，對于所有識別的風險會給出具體的攻擊團伙以及攻擊者的攻擊方法。同時，系統能夠還原攻擊者攻擊的真實情況，并提供情報側的數據印證，具備極強的對未知風險的可解釋、可溯源能力，為企業進行下一步處置提供可靠的依據。

永安在線API安全管控平臺與傳統的基于經驗規則進行風險審計的產品相比，更具前沿性和易用性。通過外部情報更能準確識別未知風險，很好的增強在流量側對業務風險的識別能力，目前已經幫助我們發現不少隱蔽風險并進行治理，在新的法規下，對于我們保障業務的安全合規價值很大。

目前，永安在線API安全管控平臺已廣泛應用于數據安全治理、護網行動支撐、新上線API安全測試、數據泄露事件追溯等場景。幫助金融、教育、企業服務、電商等領域的眾多企業實現API全生命周期的安全防護，深度保障API安全運行，助力企業業務獲得平穩、高效增長。

關于永安在線

永安在線（EverSafe Online）以黑灰產情報能力建設和攻防技術為核心，為企業提供業務反欺詐和API數據安全解決方案。通過業務風險風險監控體系、風險情報數據能力和豐富的黑產攻防經驗，幫助企業解決賬號安全、營銷反欺詐、流量欺詐、接口安全等問題，為企業風控提升攻防效率，保障企業在線業務健康發展。

目前已合作騰訊、阿里巴巴、字節跳動、華為、百度、京東、招商銀行、華泰證券、滴滴、拼多多、愛奇藝等300多家企業客戶。