目前，API 作為數(shù)據(jù)流轉(zhuǎn)和使用的重要通道，成為更多企業(yè)訪問數(shù)據(jù)/服務(wù)的接口，承載著重要責(zé)任的同時(shí)，更成為眾多黑產(chǎn)團(tuán)伙攻擊的“靶心”。

近日，一項(xiàng)最新的研究數(shù)據(jù)顯示，“在過去的一年中，大約 95% 的受訪企業(yè)遭遇過 API 應(yīng)用安全事件，并有 50% 以上的企業(yè)因此推遲業(yè)務(wù)應(yīng)用程序的發(fā)布和更新。”企業(yè)明明已經(jīng)提升對(duì) API 應(yīng)用安全的重視度，為什么攻擊者仍然可以廣泛的進(jìn)行惡意攻擊？

從技術(shù)視角看：市面上的 API 產(chǎn)品仍然采用傳統(tǒng)技術(shù)方案進(jìn)行實(shí)現(xiàn)，已不足以抵御現(xiàn)代威脅。其特點(diǎn)包括：

一是采用源代碼的靜態(tài)掃描，這種方式掃描時(shí)間長(zhǎng)、誤報(bào)率高、漏報(bào)率高，而開發(fā)人員相對(duì)更承認(rèn)黑盒掃描和人工測(cè)試的結(jié)果。

二是傳統(tǒng)黑盒漏洞掃描工具和流量分析工具只能根據(jù)使用者給出的 API 信息才能開展漏洞掃描或 API 監(jiān)控，無法做到自動(dòng)化同步基礎(chǔ)信息。

三是多設(shè)備部署成本較高、等保測(cè)評(píng)時(shí)設(shè)備越多分?jǐn)?shù)越低、實(shí)戰(zhàn)時(shí)設(shè)備越多則攻擊面越廣，并且同一 API 需要多設(shè)備重復(fù)打標(biāo)基礎(chǔ)信息 ，這就造成不同工具在配合中的完成率可能不到 80% 。

從產(chǎn)品視角看：市面上的 API 產(chǎn)品主要包括兩大類：一是 API 資產(chǎn)管理類，二是 API 訪問監(jiān)測(cè)類?，F(xiàn)有 API 工具是不夠的。

以上兩類產(chǎn)品，都是 API 防護(hù)的“可見”部分，并沒有考慮由于 API 在不斷的創(chuàng)建和更新周期中運(yùn)行的“不可見”部分，而軟件開發(fā)生命周期的每個(gè)階段的迭代方法將有助于確保生產(chǎn)中的保護(hù)。

基于此背景，固源科技的 Wib API 全生命周期安全解決方案應(yīng)運(yùn)而生。該方案提供了完整的可見性（覆蓋所有隱藏的 API，對(duì)已知和未知 API 的行為進(jìn)行監(jiān)控），用于識(shí)別、確定優(yōu)先級(jí)和消除漏洞，防止重復(fù)出現(xiàn)的錯(cuò)誤，并確保用戶數(shù)據(jù)的安全；提供了用于了解和緩解 APls 的獨(dú)特漏洞和安全風(fēng)險(xiǎn)的策略和解決方案，保護(hù) APls 在生命周期的每個(gè)階段（從開發(fā)到測(cè)試再到生產(chǎn)）進(jìn)行工作，以確保保護(hù)并通過消除漏洞不斷提高安全性。

固源-技術(shù)創(chuàng)新

固源科技 Wib API 全生命周期安全解決方案考慮應(yīng)用程序的演變、攻擊者的演變以及這些攻擊者現(xiàn)在針對(duì)應(yīng)用程序和 APls 的獨(dú)特邏輯，安全、高效、節(jié)約成本。

一是用白盒技術(shù)對(duì)代碼層的API進(jìn)行全量檢測(cè)并發(fā)現(xiàn)所有隱藏或遺漏的API，保證API資產(chǎn)的完整性；

二是將 API 作為資產(chǎn)，并將白盒、黑盒、灰盒的 API 數(shù)據(jù)全鏈路打通，保證客戶可以對(duì) API 全生命周期進(jìn)行管控。

三是一個(gè)產(chǎn)品即可減少客戶打標(biāo)基礎(chǔ)信息的時(shí)間、降低數(shù)據(jù)打通的部署成本，并規(guī)避了多設(shè)備、多廠商的安全風(fēng)險(xiǎn)。

固源-解決方案

固源科技 Wib API 全生命周期安全解決方案采用整體方法來緩解整個(gè) API 生命周期中的威脅，將確保整個(gè)軟件開發(fā)生命周期的 API 安全性的持續(xù)改進(jìn)和效率。

開發(fā)階段：支持 API 代碼分析，分析 APls 和客戶端代碼，第一時(shí)間檢測(cè) API 威脅和漏洞。

測(cè)試階段：提供 API 攻擊模擬器來測(cè)試和改進(jìn)您的 APls，保護(hù)它們免受威脅，并通過在 API 攻擊上線之前模擬漏洞來修復(fù)漏洞。

生成階段：擁有 API 消息檢查功能和 API 合規(guī)性防御者。

監(jiān)控：可用 API 消息檢查分析每個(gè) API 調(diào)用，以建立常規(guī)行為的基線，并檢測(cè)偏離該行為的任何活動(dòng)。

金融合規(guī)：API 合規(guī)性防御者，可實(shí)時(shí)識(shí)別并解決合規(guī)性違規(guī)和安全問題。

API 安全性是保護(hù) APls 免受攻擊的過程。APls 通常被廣泛記錄或易于逆向工程，因?yàn)樗鼈兘?jīng)常通過公共網(wǎng)絡(luò)獲得，可以從任何地方訪問。APls 還存儲(chǔ)敏感數(shù)據(jù)，導(dǎo)致攻擊面顯著增加，有許多進(jìn)入組織網(wǎng)絡(luò)的入口點(diǎn)。

保護(hù)和覆蓋所有 API 軟件開發(fā)生命周期是從各個(gè)點(diǎn)保護(hù) API 的唯一方法。固源科技 Wib API 全生命周期安全解決方案正是以整體和集成的方式在其全生命周期中進(jìn)行保護(hù)，是保護(hù) APls 的最佳方法。如果您擁有 Wib API 全生命周期安全解決方案保護(hù)，您將獲得現(xiàn)有 APls 的完整可見性、對(duì)其完整性的分析、漏洞識(shí)別和實(shí)時(shí)攻擊檢測(cè)。

2022年一項(xiàng)研究發(fā)現(xiàn)，大型企業(yè)平均有超過 2.5 萬個(gè) API 連接其基礎(chǔ)設(shè)施，而在12個(gè)月內(nèi)則有高達(dá) 41% 的組織經(jīng)歷過API安全事件，其中，63%涉及數(shù)據(jù)泄露或遺失，API安全形勢(shì)嚴(yán)峻。截至目前，固源科技 Wib API 全生命周期安全解決方案已在電力行業(yè)、金融行業(yè)、互聯(lián)網(wǎng)電子商務(wù)行業(yè)、軍工領(lǐng)域、國防領(lǐng)域、科研院所等得到廣泛應(yīng)用。固源科技，專注于AI智能漏洞挖掘及防御建設(shè)！

北京固源網(wǎng)絡(luò)科技有限公司（簡(jiǎn)稱“固源科技”）成立于2015年，團(tuán)隊(duì)從2019年開始研究模糊漏洞挖掘核心算法， 核心成員由國內(nèi)頂尖網(wǎng)絡(luò)攻防安全專家(現(xiàn)國內(nèi)網(wǎng)絡(luò)尖刀成員)， 以色列Beyond Security， Checkmarx中國區(qū)骨干成員組成。固源科技自主研發(fā)的一系列軟件安全漏洞挖掘安全產(chǎn)品，可以廣泛應(yīng)用于各行各業(yè)的軟硬件環(huán)境中，為客戶實(shí)現(xiàn)安全前置，提前發(fā)現(xiàn)潛在安全漏洞。