需要云计算吗? 即刻开始体验

API Security

保护所有 API 免遭日益频繁的攻击和数据窃取。

发现并监测所有 API,以抵御威胁

借助 API Security,您可以持续进行 API 发现和实时分析,从而全面监测整个 API 资产。了解如何识别漏洞并分析 API 行为,以在这个快速增长的攻击面中检测攻击并消除风险。

消除常见的安全盲点

发现所有 API 资产

通过持续发现和监控,查找并清点所有 API,包括影子 API、僵尸 API 和恶意 API。

识别易受攻击的 API

通过审核发现攻击者锁定的各种 API 漏洞和错误配置(包括 OWASP 十大 API 安全风险)。

抵御商业逻辑滥用

利用情境洞察信息来识别数据泄露、可疑行为、恶意爬虫程序和 API 攻击等风险。

API Security 的工作原理

发现

发现

生成全面的 API 清单,包括您所拥有的 API 的数量和类型。

测试

测试

在不牺牲速度的情况下,为 CI/CD 管道添加安全性,以便在将 API 投入生产之前保护它们。

检测

检测

利用机器学习推动的自动化检测,识别 API 漏洞和攻击。

响应

响应

通过与您的 WAF、SIEM 和 ITSM 工具集成,打造高级工作流,以修复 API 问题。

API 安全事件会带来哪些影响?

超过 1200 名安全专业人士为您揭示 API 安全事件如何影响其企业的利润、声誉以及带给团队的工作压力。

Gartner® Market Guide for API Protection

Gartner® Market Guide for API Protection

提前预防下一个重要的攻击媒介:API 滥用。了解产品功能、供应商、市场方向等相关信息。

Gartner® Market Guide for API Protection

提前预防下一个重要的攻击媒介:API 滥用。了解产品功能、供应商、市场方向等相关信息。

Gartner® Market Guide for API Protection

Gartner® Market Guide for API Protection

提前预防下一个重要的攻击媒介:API 滥用。了解产品功能、供应商、市场方向等相关信息。

Gartner® Market Guide for API Protection

功能

  • 通过与 Akamai CDN 的本地连接评估 API 流量并与您的 API 网关、负载均衡器或 Web 应用程序防火墙 (WAF) 集成
  • 发现与 HTTP、RESTful、GraphQL、SOAP、XML-RPC 和 JSON-RPC API 有关的 API 问题、域名问题以及其他相关问题
  • 识别您的 API 可以访问的敏感数据类型,并跟踪用户对这些 API 的访问
  • 分析 API 的 OWASP 十大 API 安全风险,并按影响优先级排列漏洞,以便进行快速修复分析 API 的 OWASP 十大 API 安全风险,并按影响优先级排列漏洞,以便进行快速修复
  • 通过对业务逻辑、物理网络基础设施和 API 流量的可视化,了解 API 的相关背景信息

  • 持续监控监管要求、行业标准和内部政策的合规情况
  • 使用机器学习识别异常使用情况、API 攻击、数据泄漏、篡改和政策违规情况
  • 实时阻止 API 攻击,并设置高级工作流以加快修复进程并提高安全运营中心 (SOC) 的效率
  • 与现有的 CI/CD 管道完全集成,并自动运行 200 多个模拟恶意流量的测试

常见问题

API Security 是供应商中立的 API 威胁防范解决方案,不需要配合使用其他 Akamai 解决方案。随着 API 攻击变得更加复杂,企业需要新的检测技术和自动响应能力。而 API Security 可以对 Akamai 的安全解决方案形成补充,确保为客户提供全面的防护。 

API Security 和 App & API Protector 是 Akamai 为保护企业安全而提供的两款不同解决方案。

  • App & API Protector 可以针对通过 Akamai Connected Cloud 运行的所有 Web 应用程序和 API,发现并抵御其中的 API 威胁。它能够阻止任何对企业构成潜在威胁的内联流量。
  • API Security 不受平台限制,能够全面发现并监测企业范围内的所有 API 端点。它会对 API 活动进行实时流量分析,并确定应该采取哪些具体措施来抵御新的 API 攻击流量。

在联合部署的情况下,App & API Protector 和 API Security 可以协同工作,帮助您全面、持续地监测所有 API。这样一来,您就能发现、审查、检测和应对所有资产中的 API 问题。更重要的是,API Security 与 App & API Protector 的集成还有助于实现功能强大、操作简便的 API 安全防护。

是的,我们专门构建的 API 测试解决方案旨在全面覆盖 API 相关漏洞。我们的解决方案可以帮助您将 API 安全测试左移并嵌入到每个开发阶段。

API Security 可以监控并保护东西向和南北向流量,检查整个企业中的所有 API 是否存在可能具有安全风险的异常情况。

API Security 可以识别哪些 API 包含个人身份信息 (PII)、内部文档、知识产权等,并自动为这些 API 提供保护。所有流量样本(无论是否可疑)都经过混淆处理并仅供管理员和贡献者查看,从而能够简化您的隐私保护和合规性计划。

API Security 不受平台限制,适用于各类环境(例如,SaaS 环境、混合环境和本地环境),包括那些有多个 CDN、WAF 和网关并且 API 广泛分布在整个企业中(同时具有南北向流量和东西向流量)的复杂环境。API Security 可以让您在整个企业范围内监测 API 行为,而不必考虑是在何处发现的 API。

Akamai API Security 具有原生接口,允许您将 Akamai Connected Cloud 的流量副本无缝发送到 Akamai API Security 进行分析。这种集成直接内置于 API Security 和 Akamai Connected Cloud 中,消除了延迟并降低了风险。此原生接口可自动发现和跟踪 Akamai 托管环境中的 API,帮助检测漏洞,并允许客户在边缘阻止攻击者的攻击。

API Security 涵盖了所有的 OWASP 十大 API 安全漏洞

客户案例

API Security 应用场景

了解 Akamai API Security 如何从多个方面保护您的数字业务及数据。

在将 API 投入生产环境之前对其进行测试

在将 API 投入生产环境之前对其进行测试

API 测试对于您的 API 安全策略来说至关重要,因为它可以帮助企业进行“左移”——在软件开发生命周期 (SDLC) 的早期阶段,API 进入生产环境之前,检测并修复业务逻辑滥用等漏洞。

有了 API 测试,您可以自动运行 150 多项可模拟恶意流量的动态测试,包括针对 OWASP 十大 API 安全风险的测试。在开发的任意阶段,您都可以将测试安排为按所需的时间间隔自动运行。

获取企业范围内 API 的清单

获取企业范围内 API 的清单

保留整个企业内所有 API 的完整清单并且持续更新这份清单对于有效的 API 安全策略来说至关重要。鉴于与 API 攻击相关的风险日益加剧,只在需要时发现或每日发现 API 已经远远不够。此外,要让来自安全、开发和运营团队的主要团队成员了解 API 是如何被利用或滥用的,就必须要监测实际 API 行为(API 调用)。这可促进企业团队之间的沟通,便于开展调查。

API Security 支持自动持续发现各种技术环境和基础架构中的 API。它还可以识别新部署的 API,并将此类 API 的属性与任何现有文档进行比较。API Security 可检测出经常被忽视的影子 API 和已知的 API 漏洞,如 OWASP 十大 API 安全风险》。 

API 发现是一个持续的过程,我们会通过持续监控,全年无休地发现新增 API 以及对现有 API 的更改。安全团队能够充分掌握所有 API 的情况,并且第一时间获悉开发人员部署的新 API 或服务。

了解 API 风险状况

了解 API 风险状况

API 可增强企业推出的每一款数字产品和服务的功能。因此,API 的范围和规模不断扩大也不足为奇。但这种增长会导致 API 蔓延,进而改变您的攻击面。

如今的攻击者会寻找 API 漏洞,包括软件错误或配置错误,他们利用这些漏洞:

  • 访问敏感的应用程序功能
  • 查找、泄露和/或窃取敏感数据
  • 恶意滥用 API

“OWASP 十大 API 安全风险”中提供了一份有帮助的汇总清单,汇总了一些经常被利用的 API 漏洞和威胁,企业应尝试识别并解决这些漏洞和威胁。

借助 API Security,您可以将潜在风险、配置错误和漏洞及时通知安全、开发和 API 团队,从而防止攻击者利用易受攻击的 API 和配置错误的 API 向您的企业发起 API 攻击。您还可以轻松确定合作伙伴是否错误设置了您的 API,或者代码中是否存在漏洞。

情境告警和条件告警在您现有的工作流中无缝运作,例如通过自动创建 Jira 工作单,让您可以快速解决任何问题。

监控 API 滥用

监控 API 滥用

API 设计为以编程方式使用,这使得区分合法使用与攻击和滥用十分困难。

尽管 API 威胁攻击的手段各异,但一些最常见的手段包括:

  • 业务逻辑滥用。 逻辑滥用是指恶意攻击者利用应用程序设计或实施的缺陷来引发有益于攻击者的意外行为和未经批准的行为。传统的安全控制措施无法防范此类滥用,这给首席信息安全官及其团队带来了巨大的压力。
  • 未经授权的数据访问。 API 滥用的另一种常见形式是攻击者利用损坏的授权机制来访问其无权访问的数据。这些漏洞有很多名称,例如失效的对象级授权 (BOLA)、不安全的直接对象引用 (IDOR),以及失效的功能级授权 (BFLA)。
  • 帐户接管。 在凭据被盗乃至跨站点脚本攻击之后,帐户可能会被接管。一旦发生这种情况,即使是编写十分出色、安全性较高的 API 也可能被滥用。毕竟,如果不执行行为分析,任何经过身份验证的活动都被认为是合法的。
  • 数据抓取。 如果企业通过公共 API 提供数据集,恶意攻击者就可能积极查询这些资源,以便批量捕获大体量、有价值的数据集。
  • 商业拒绝服务 (DoS) 攻击。 API 攻击者或用户如果请求后端执行繁重任务,可能引发应用程序层的“服务侵蚀”或完全拒绝服务(GraphQL 中十分常见的一个漏洞,但任何资源密集型 API 端点实施都可能发生这种情况)。在有人故意攻击或者合作伙伴过度使用而导致其他合作伙伴无法使用 API 时,就可能发生这种情况。
  • 漏洞利用。 底层基础架构中的技术漏洞可能会导致服务器受损。此类漏洞的例子很多,从 Apache Struts 漏洞(CVE-2017-9791、CVE-2018-11776 等)到 Log4j 漏洞(CVE-2021-44228 等)都包括在内。

要想识别这些漏洞和其他 API 安全风险并减轻影响,需要采取足够成熟的安全控制措施,才能应对这种复杂且快速变化的威胁态势。

API Security 解决方案提供的业务背景信息是只通过分析 IP 地址和 API 标识等技术元素所无法获得的。API Security 利用 AI/ML 提供信息支持的实时行为分析来输出业务背景,让您能够对发出告警前后的活动进行深入分析,以确定根本原因。API Security 还允许按特定实体搜索 API,例如按用户或合作伙伴甚至业务流程实体(发票、付款、订单等)进行搜索,从而可以发现原本无法检测到的异常情况。

倾听我们 API 安全专家的真知灼见

参加我们的“If Your APIs Could Talk”月度系列网络研讨会,我们将在 API 安全的技术层面上进行深入探讨。

资源

了解 API Security 的关键功能

通过实践范例来了解哪些 API Security 功能可帮助您抵御攻击,包括:

  • 发现和监控: 利用我们的全天候监控系统可即时检测威胁并做出响应
  • 告警: 调查风险状况和运行时告警的处理方式
  • 轻松集成: 无论复杂性如何,都能够与您的现有技术堆栈进行无缝集成

只需两步即可预约演示:

  1. 提交表格
  2. 与我们的团队预约时间

感谢您的申请!Akamai 专家将尽快与您联系。