近日，IDC 2022 CSO全球网络安全峰会（中国站）在上海隆重开幕，会上首次发布《IDC TechScape：中国数据安全发展路线图，2022》（以下简称：TechScape 路线图 2022）。盛邦安全入选TechScape 路线图变革型技术曲线“API安全”技术推荐厂商，这是对盛邦安全在API安全技术领域持续创新与积累的重要认可。

TechScape 路线图旨在帮助用户构建全方位数据安全治理体系，赋能用户实现数据安全治理目标。本次发布的TechScape 路线图 2022 选取了18个新兴及重要的数据安全技术进行分析，根据技术的市场影响以及各技术的发展阶段，将其分为变革型技术、主导型技术以及机会型技术三大类别。通过对每个数据安全领域单项技术的部署情况、风险程度、市场热度等内容进行细致的研究，针对每项技术给出三个推荐厂商，从而为最终用户在产品选型时提供技术参考。

API 安全防护成为企业安全体系的重要组成部分

TechScape 路线图2022报告显示，应用程序规模正在快速增长，API通过集成应用软件的模式来更好地连接应用程序，已经成为了应用程序连接、创新的基础，给技术服务提供商和用户带来更多便利。然而，API也开始被众多攻击者所关注，非授权访问、数据篡改与窃取、分布式拒绝服务、 SQL 注入等成为了攻击者运用 API 进行攻击的常用手段。

由于API 的多样性、复杂性，一个应用程序可能会连接多个不同语言体系的 API，这无疑给最终用户的 API 安全防护造成了很大困扰，许多用户在攻击事件发生后才意识到 API 风险。然而，由于企业广泛存在 API 资产梳理不全面、不准确、开发过程中的 API 测试能力较弱、安全配置错误、身份认证与权限管控失误、加密失败、运行过程中持续的检测监测难、API 安全意识薄弱等问题，API防护面临诸多的困境。

盛邦安全API产品市场负责人认为，传统的依赖API网关与WAF、IPS等防护设备联动配合的方式，逐渐暴露出漏防、漏报、方案整合复杂程度高且针对性不足等缺点，越来越多的用户需要部署专用的API检测和防护设备，以实现API的全生命周期安全管理和控制。而IDC 定义下的 API安全，是一类帮助用户缓解和保护 API 相关安全风险的解决方案，也是网络安全技术应用的重要领域。

盛邦安全RayAPI 保护API安全无虞

盛邦安全基于自身在网络资产治理与应用安全领域的技术积累，推出了集API资产梳理与加固保护于一体的安全防护型产品——API安全防护系统（RayAPI），可以在API学习画像的基础上，对其进行权限加固、攻击防护、数据保护和综合审计，提供全面的管控手段。

为了应对不同环境下的各类安全需求，RayAPI逐渐形成了如下五个核心技术能力：

• 主被动结合的API学习引擎：采用主动探测与被动流量分析相结合的API学习引擎，可以全面梳理用户业务中存在的API资产，并结合流量特征进行语义提取，识别API状态、用途等属性，从而实现标签化的画像管理，自动梳理出正常API、影子API与问题API等内容；
• 启发式攻击检测与防护引擎：采用特征检测、语义分析与AI学习三合一的启发式检测引擎，通过对已知的攻击规则与行为特征简化判断逻辑，并对引擎持续训练，提升针对未知风险的发现能力，从而对API相关的注入攻击、命令攻击、异常访问和非法内容进行防护处置；
• 基于人机识别的API访问控制：产品基于流量变化和行为特点等角度进行建模分析，梳理API访问的基线并进行动态跟踪，对未授权访问、未知请求、非法调用和异常高频请求等行为进行识别判断，并利用反向校验、访问限制和白名单等方式进行访问控制；
• 面向业务的API数据调用管控：产品采用全面的检查点和丰富的数据处理模型，能够结合业务特点来对组织敏感数据、个人隐私信息、业务关键信息和系统账户口令等数据进行精准识别、统计和分类梳理，并结合擦除、替换和访问限制等手段来达到脱敏保护等目的；
• 面向API生命周期的态势监控：基于时间、空间、业务属性和数据类型等多种维度对API资产进行监控，对API上线状态、运行状况、调用可靠性、数据合法性以及威胁态势进行综合研判，实现API资产的细粒度审计和可视化分析。

基于领先的 API 防护技术与丰富的行业实践，盛邦安全将持续优化RayAPI，帮助用户更好地对抗API攻击，保护API安全无虞。