Wib API 全生命周期安全解決方案，保護 APls 的最佳方法

目前，API 作為資料流轉和使用的重要通道，成為更多企業通路資料/服務的接口，承載着重要責任的同時，更成為衆多黑産團夥攻擊的“靶心”。

近日，一項最新的研究資料顯示，“在過去的一年中，大約 95% 的受訪企業遭遇過 API 應用安全事件，并有 50% 以上的企業是以推遲業務應用程式的釋出和更新。”企業明明已經提升對 API 應用安全的重視度，為什麼攻擊者仍然可以廣泛的進行惡意攻擊？

從技術視角看：市面上的 API 産品仍然采用傳統技術方案進行實作，已不足以抵禦現代威脅。其特點包括：

一是采用源代碼的靜态掃描，這種方式掃描時間長、誤報率高、漏報率高，而開發人員相對更承認黑盒掃描和人工測試的結果。

二是傳統黑盒漏洞掃描工具和流量分析工具隻能根據使用者給出的 API 資訊才能開展漏洞掃描或 API 監控，無法做到自動化同步基礎資訊。

三是多裝置部署成本較高、等保測評時裝置越多分數越低、實戰時裝置越多則攻擊面越廣，并且同一 API 需要多裝置重複打标基礎資訊 ，這就造成不同工具在配合中的完成率可能不到 80% 。

從産品視角看：市面上的 API 産品主要包括兩大類：一是 API 資産管理類，二是 API 通路監測類。現有 API 工具是不夠的。

以上兩類産品，都是 API 防護的“可見”部分，并沒有考慮由于 API 在不斷的建立和更新周期中運作的“不可見”部分，而軟體開發生命周期的每個階段的疊代方法将有助于確定生産中的保護。

基于此背景，固源科技的 Wib API 全生命周期安全解決方案應運而生。該方案提供了完整的可見性（覆寫所有隐藏的 API，對已知和未知 API 的行為進行監控），用于識别、确定優先級和消除漏洞，防止重複出現的錯誤，并確定使用者資料的安全；提供了用于了解和緩解 APls 的獨特漏洞和安全風險的政策和解決方案，保護 APls 在生命周期的每個階段（從開發到測試再到生産）進行工作，以確定保護并通過消除漏洞不斷提高安全性。

固源-技術創新

固源科技 Wib API 全生命周期安全解決方案考慮應用程式的演變、攻擊者的演變以及這些攻擊者現在針對應用程式和 APls 的獨特邏輯，安全、高效、節約成本。

一是用白盒技術對代碼層的API進行全量檢測并發現所有隐藏或遺漏的API，保證API資産的完整性；

二是将 API 作為資産，并将白盒、黑盒、灰盒的 API 資料全鍊路打通，保證客戶可以對 API 全生命周期進行管控。

三是一個産品即可減少客戶打标基礎資訊的時間、降低資料打通的部署成本，并規避了多裝置、多廠商的安全風險。

固源-解決方案

固源科技 Wib API 全生命周期安全解決方案采用整體方法來緩解整個 API 生命周期中的威脅，将確定整個軟體開發生命周期的 API 安全性的持續改進和效率。

開發階段：支援 API 代碼分析，分析 APls 和用戶端代碼，第一時間檢測 API 威脅和漏洞。

測試階段：提供 API 攻擊模拟器來測試和改進您的 APls，保護它們免受威脅，并通過在 API 攻擊上線之前模拟漏洞來修複漏洞。

生成階段：擁有 API 消息檢查功能和 API 合規性防禦者。

監控：可用 API 消息檢查分析每個 API 調用，以建立正常行為的基線，并檢測偏離該行為的任何活動。

金融合規：API 合規性防禦者，可實時識别并解決合規性違規和安全問題。

API 安全性是保護 APls 免受攻擊的過程。APls 通常被廣泛記錄或易于逆向工程，因為它們經常通過公共網絡獲得，可以從任何地方通路。APls 還存儲敏感資料，導緻攻擊面顯著增加，有許多進入組織網絡的入口點。

保護和覆寫所有 API 軟體開發生命周期是從各個點保護 API 的唯一方法。固源科技 Wib API 全生命周期安全解決方案正是以整體和內建的方式在其全生命周期中進行保護，是保護 APls 的最佳方法。如果您擁有 Wib API 全生命周期安全解決方案保護，您将獲得現有 APls 的完整可見性、對其完整性的分析、漏洞識别和實時攻擊檢測。

2022年一項研究發現，大型企業平均有超過 2.5 萬個 API 連接配接其基礎設施，而在12個月内則有高達 41% 的組織經曆過API安全事件，其中，63%涉及資料洩露或遺失，API安全形勢嚴峻。截至目前，固源科技 Wib API 全生命周期安全解決方案已在電力行業、金融行業、網際網路電子商務行業、軍工領域、國防領域、科研院所等得到廣泛應用。固源科技，專注于AI智能漏洞挖掘及防禦建設！

北京固源網絡科技有限公司（簡稱“固源科技”）成立于2015年，團隊從2019年開始研究模糊漏洞挖掘核心算法， 核心成員由國内頂尖網絡攻防安全專家(現國内網絡尖刀成員)， 以色列Beyond Security， Checkmarx中國區骨幹成員組成。固源科技自主研發的一系列軟體安全漏洞挖掘安全産品，可以廣泛應用于各行各業的軟硬體環境中，為客戶實作安全前置，提前發現潛在安全漏洞。