了解我们在中国开展业务的承诺。 阅读全文

API Security

保护所有 API 免遭日益频繁的攻击和数据窃取

API Security

保护所有 API 免遭日益频繁的攻击和数据窃取

发现并监测所有 API,以抵御威胁

借助 API Security,您可以持续进行 API 发现和实时分析,从而全面监测整个 API 资产。了解如何识别漏洞并分析 API 行为,以在这个快速增长的攻击面中检测攻击并消除风险。

此图说明了 API Security 的威胁检测原理,列出了从产品部署到发现威胁,再到威胁调查的全过程。

发现并消除隐藏的 API 安全风险

发现所有 API 资产

通过持续发现和监控,查找并清点所有 API,包括影子 API、僵尸 API 和恶意 API。

识别易受攻击的 API

通过审核发现攻击者锁定的各种 API 漏洞和错误配置(包括 OWASP 十大 API 安全风险)。

抵御 API 滥用和攻击

利用情境洞察信息来识别数据泄露、可疑行为、恶意爬虫程序和 API 攻击等风险。

API Security 的工作原理

发现

生成全面的 API 清单,包括您所拥有的 API 的数量和类型。

测试

在不影响速度的情况下提升 CI/CD 管道的安全性,在将 API 投入生产环境之前确保其安全。

检测

利用机器学习推动的自动化检测,识别 API 漏洞和攻击。

响应

通过与您的 WAF、SIEM 和 ITSM 工具集成,打造高级工作流,以修复 API 问题。

API 安全事件会带来哪些影响?

超过 1200 名安全专业人士为您揭示 API 事件如何影响其企业的利润、声誉以及带给团队的工作压力。

特点

  • 通过与 Akamai CDN 的本地连接评估 API 流量并与您的 API 网关、负载均衡器或 Web 应用程序防火墙 (WAF) 集成
  • 发现与 HTTP、RESTful、GraphQL、SOAP、XML-RPC 和 JSON-RPC API 有关的 API 问题、域名问题以及其他相关问题
  • 识别您的 API 可以访问的敏感数据类型,并跟踪用户对这些 API 的访问
  • 分析 API 的 OWASP 十大 API 安全风险,并按影响优先级排列漏洞,以便进行快速修复
  • 通过对业务逻辑、物理网络基础设施和 API 流量的可视化,了解 API 的相关背景信息
  • 持续监控监管要求、行业标准和内部政策的合规情况
  • 识别异常使用情况、API 攻击、数据泄漏、篡改和政策违规情况
  • 阻止 API 攻击并设置工作流程以加快修复速度或利用 Managed Security Service 提升 SOC 有效性
  • 与现有的 CI/CD 管道完全集成,并自动运行 200 多个模拟恶意流量的测试

Akamai 被评为 API 安全领域的领导者和快速发展者

分析师在评估 13 家不同的 API 安全供应商后,将 Akamai 评为市场领导者。

Netskope

安全负责人利用 Akamai API Security 帮助数千家客户保持合规,同时确保数千个 API 的安全。

MP-52910-Resize Customer Story Logos

Novant Health

Novant Health 借助 Akamai API Security 优秀的监测能力、数据保护和“左移”测试来发现并降低 API 风险。

敦煌网

中国电子商务批发平台提供商通过 API Security 解决与 API 清单相关的安全问题。

API Security 应用场景

了解 Akamai API Security 如何从多个方面保护您的数字业务及数据。

执行 API 测试

在将 API 投入生产环境之前对其进行测试

API 测试对于您的 API 安全策略来说至关重要,因为它可以帮助企业进行“左移”——在软件开发生命周期 (SDLC) 的早期阶段,API 进入生产环境之前,检测并修复业务逻辑滥用等漏洞。

有了 API 测试,您可以自动运行 150 多项可模拟恶意流量的动态测试,包括针对 OWASP 十大 API 安全风险的测试。在开发的任意阶段,您都可以将测试安排为按所需的时间间隔自动运行。

清点 API

获取企业范围内 API 的清单

保留整个企业内所有 API 的完整清单并且持续更新这份清单对于有效的 API 安全策略来说至关重要。鉴于与 API 攻击相关的风险日益加剧,只在需要时发现或每日发现 API 已经远远不够。此外,要让来自安全、开发和运营团队的主要团队成员了解 API 是如何被利用或滥用的,就必须要监测实际 API 行为(API 调用)。这可促进企业团队之间的沟通,便于开展调查。

API Security 支持自动持续发现各种技术环境和基础架构中的 API。它还可以识别新部署的 API,并将此类 API 的属性与任何现有文档进行比较。API Security 可检测出经常被忽视的影子 API 和已知的 API 漏洞,如 OWASP 十大 API 安全风险中概述的安全风险。

API 发现是一个持续的过程,我们会通过持续监控,全年无休地发现新增 API 以及对现有 API 的更改。安全团队能够充分掌握所有 API 的情况,并且第一时间获悉开发人员部署的新 API 或服务。

了解 API 风险状况

了解 API 风险状况

API 可增强企业推出的每一款数字产品和服务的功能。因此,API 的范围和规模不断扩大也不足为奇。但这种增长会导致 API 蔓延,进而改变您的攻击面。

如今的攻击者会寻找 API 漏洞,包括软件错误或配置错误,他们利用这些漏洞:

  • 访问敏感的应用程序功能
  • 查找、泄露和/或窃取敏感数据
  • 恶意滥用 API

OWASP 十大 API 安全风险 ”中提供了一份有帮助的汇总清单,汇总了一些经常被利用的 API 漏洞和威胁,企业应尝试识别并解决这些漏洞和威胁。

借助 API Security,您可以将潜在风险、配置错误和漏洞及时通知安全、开发和 API 团队,从而防止攻击者利用易受攻击的 API 和配置错误的 API 向您的企业发起 API 攻击。您还可以轻松确定合作伙伴是否错误设置了您的 API,或者代码中是否存在漏洞。

情境告警和条件告警在您现有的工作流中无缝运作,例如通过自动创建 Jira 工作单,让您可以快速解决任何问题。

监控 API 滥用

监控 API 滥用

API 设计为以编程方式使用,这使得区分合法使用与攻击和滥用十分困难。

尽管 API 攻击的手段各异,但一些最常见的手段包括:

  • 业务逻辑滥用。业务逻辑攻击利用应用程序设计或实施的缺陷来引发有益于攻击者的意外行为和未经批准的行为。 
  • 未经授权的数据访问。这种常见的攻击方法会利用受损的身份验证和授权机制的漏洞,访问受限数据。 
  • 帐户接管。帐户接管依赖于凭据盗窃或跨站点脚本攻击,通过伪装成合法用户来利用 API。 
  • 数据抓取。恶意攻击者可能通过频繁查询公开可用的资源,大规模获取大量有价值的数据集。
  • 业务拒绝服务 (DoS)。不受限制的 API 调用可能会导致“服务侵蚀”或在应用层完全拒绝服务。 

检测和抵御这些以及其他潜在的 API 安全风险,需要将专门的 API 安全解决方案中的高级控制措施作为更广泛的应用程序安全策略的一部分来使用。

常见问题 (FAQ)

API Security 是供应商中立的 API 威胁防范解决方案,不需要配合使用其他 Akamai 解决方案。随着 API 攻击变得更加复杂,企业需要新的检测技术和自动响应能力。而 API Security 可以对 Akamai 的安全解决方案形成补充,确保为客户提供全面的防护。

API Security 和 App & API Protector 是 Akamai 为保护企业安全而提供的两款不同解决方案。

  • App & API Protector 可以针对通过 Akamai Connected Cloud 运行的所有 Web 应用程序和 API,发现并抵御其中的 API 威胁。它能够阻止任何对企业构成潜在威胁的内联流量。
  • API Security 不受平台限制,能够全面发现并监测企业范围内的所有 API 端点。它会对 API 活动进行实时流量分析,并确定应该采取哪些具体措施来抵御新的 API 攻击流量。

    在联合部署的情况下,App & API Protector 和 API Security 可以协同工作,帮助您全面、持续地监测所有 API。这样一来,您就能发现、审查、检测和应对所有资产中的 API 问题。更重要的是,API Security 与 App & API Protector 的集成还有助于实现功能强大、操作简便的 API 安全防护。

是的,我们专门构建的 API 测试解决方案旨在全面覆盖 API 相关漏洞。我们的解决方案可以帮助您将 API 安全测试左移并嵌入到每个开发阶段。

API Security 可以监控并保护东西向和南北向流量,检查整个企业中的所有 API 是否存在可能具有安全风险的异常情况。

API Security 可以识别哪些 API 包含个人身份信息 (PII)、内部文档、知识产权等,并自动为这些 API 提供保护。所有流量样本(无论是否可疑)都经过混淆处理并仅供管理员和贡献者查看,从而能够简化您的隐私保护和合规性计划。

API Security 不受平台限制,适用于各类环境(例如,SaaS 环境、混合环境和本地环境),包括那些有多个 CDN、WAF 和网关并且 API 广泛分布在整个企业中(同时具有南北向流量和东西向流量)的复杂环境。API Security 可以让您在整个企业范围内监测 API 行为,而不必考虑是在何处发现的 API。

Akamai API Security 具有原生接口,允许您将 Akamai Connected Cloud 的流量副本无缝发送到 Akamai API Security 进行分析。这种集成直接内置于 API Security 和 Akamai Connected Cloud 中,消除了延迟并降低了风险。此原生接口可自动发现和跟踪 Akamai 托管环境中的 API,帮助检测漏洞,并允许客户在边缘阻止攻击者的攻击。

API Security 能够抵御所有的 OWASP 十大 API 安全风险

资源

防范 OWASP 十大 API 安全风险

对十大 API 安全风险的更新表明,出现了需要采取新的抵御策略和防御措施的新漏洞。

超越边界:结合始终开启的 API 安全性补充 WAAP

了解 API 安全防护的最佳做法以及为何仅靠 WAAP 并不足以确保安全。

倾听我们 API 安全专家的真知灼见

参加我们的“If Your APIs Could Talk”月度系列网络研讨会,我们将在 API 安全的技术层面上进行深入探讨。

一个戴着黑框眼镜的人,脸部被电脑屏幕的光照亮

了解 API Security 的关键功能

通过实践范例来了解哪些 API Security 功能可帮助您抵御攻击,包括:

  • 发现和监控:利用我们的全天候监控系统可即时检测威胁并做出响应
  • 告警:调查风险状况和运行时告警的处理方式
  • 轻松集成:无论复杂性如何,都能够与您的现有技术堆栈进行无缝集成

 

只需两步即可预约演示:

  1. 提交表格
  2. 与我们的团队预约时间

感谢您的申请!Akamai 专家将尽快与您联系。