數字化時代，單位組織愈加依賴API實現系統間的數據共享和交互，但同時，因API引發的網絡攻擊風險也在不斷升級，成為(wèi)數據洩露的高發之地。

統計顯示，過去的一年，API攻擊增長(cháng)已超過287%。Gartner研報預測，2024年，API安(ān)全隐患導緻的相關數據洩露将近乎翻倍。有(yǒu)效應對API安(ān)全威脅挑戰，越來越成為(wèi)當前安(ān)全建設的重點。

近日，權威研究機構數世咨詢發布《2024年API安(ān)全市場指南》，詳細梳理(lǐ)了API安(ān)全概念、能(néng)力企業、市場概況、需求分(fēn)析、未來發展趨勢，為(wèi)企業選擇厘清API安(ān)全内涵以及選擇相應的解決方案提供參考。

同時，數世咨詢根據廠商(shāng)在API安(ān)全營收占比、業務(wù)專注度等多(duō)維度因素，将其劃分(fēn)為(wèi)專業賽道廠商(shāng)、綜合業務(wù)廠商(shāng)兩大類，并用(yòng)市場執行力、應用(yòng)創新(xīn)力考察廠商(shāng)的市場表現和技(jì )術能(néng)力。

美創科(kē)技(jì )憑借在API領域的産(chǎn)品應用(yòng)創新(xīn)與市場落地實踐能(néng)力入選綜合業務(wù)廠商(shāng)賽道。

《2024年API安(ān)全市場指南》發現，目前，國(guó)内各行業組織對API安(ān)全的投入，前五名(míng)行業分(fēn)别為(wèi)：政府部委(28%)、運營商(shāng)(19%)、金融(11%)、互聯網企業(10%)、電(diàn)力(9%)。這些數據表明政府和涉及重要基礎設施的行業對API安(ān)全需求和投入更為(wèi)顯著，在具(jù)體(tǐ)實踐中(zhōng)，國(guó)内組織采購(gòu)API安(ān)全相關解決方案的需求主要圍繞以下幾個方面：

• API資産(chǎn)發現與管理(lǐ)：全面梳理(lǐ)API資産(chǎn)，實現全生命周期管理(lǐ)，包括API發現、分(fēn)類分(fēn)級、變更管理(lǐ)等，難點在于影子API和僵屍API的發現和管理(lǐ)。

• API風險監測：識别API漏洞、數據安(ān)全風險和異常行為(wèi)，并及時采取措施進行修複和防護。

• API訪問控制：實施細粒度的訪問控制和權限管理(lǐ)，确保隻有(yǒu)授權用(yòng)戶和應用(yòng)程序才能(néng)訪問API資源。

• 數據安(ān)全：保護API傳輸和存儲的敏感數據，包括數據加密、脫敏和防洩漏。

• 安(ān)全合規：滿足相關數據安(ān)全法規和行業标準的要求，提供合規性檢查和報告功能(néng)，幫助企業滿足合規性要求。

作(zuò)為(wèi)綜合業務(wù)廠商(shāng)賽道中(zhōng)，唯一一家專注于數據安(ān)全領域的企業，美創科(kē)技(jì )自研API安(ān)全監測與訪問控制系統(簡稱：API-SMAC)，可(kě)有(yǒu)效滿足上述單位組織采購(gòu)API安(ān)全相關解決方案的重點需求。

◼︎ API-SMAC 區(qū)别于WAF、API網關，聚焦于API接口流轉安(ān)全，“以數據為(wèi)核心”，通過雙向流量解析和輕代理(lǐ)技(jì )術，實現對通過API接口進行數據流轉的行為(wèi)進行安(ān)全監測、安(ān)全訪問控制、鏈路追溯。産(chǎn)品集全域應用(yòng)和接口資産(chǎn)發現和梳理(lǐ)、敏感數據發現和分(fēn)類分(fēn)級、數據流轉風險監測與防護、流轉安(ān)全管控、訪問行為(wèi)審計以及訪問鏈路測繪能(néng)力，助力各行業用(yòng)戶實現API接口數據流轉場景下的數據資産(chǎn)全掌握、數據流程全了解，流動風險全可(kě)控、流動過程全可(kě)審。

API-SMAC核心能(néng)力

1  API資産(chǎn)全面識别：智能(néng)流量分(fēn)析、建模，全面梳理(lǐ)業務(wù)應用(yòng)及API接口及傳輸的數據，形成數據資産(chǎn)全景視圖。

2  數據流轉風險監測：智能(néng)檢測API調用(yòng)過程中(zhōng)存在的各類風險，一旦發現異常行為(wèi)，立即進行風險告警與審計、快速處置。

3  API訪問權限管控：基于資産(chǎn)、身份、行為(wèi)權限矩陣，采取主動防禦機制，結合訪問控制、脫敏、水印溯源等能(néng)力，實現多(duō)維細粒度安(ān)全管控防護。

4  敏感數據動态脫敏：内置敏感數據脫敏策略，防止訪問非授權API、越權訪問API等數據調用(yòng)行為(wèi)造成的敏感數據非法洩露。

5  水印追蹤溯源：靈活根據數據分(fēn)發對象，無痕水印技(jì )術快速加注專屬的個性化水印，保證數據即使洩露後，能(néng)夠快速追溯到數據洩露節點、為(wèi)數據洩露提供溯源取證依據。

6  二次流轉監測與控制：提供基于Agent的數據可(kě)信流轉監測與管控，避免接口的二次非法封裝(zhuāng)，導緻的數據洩露。

7  數據流轉鏈路測繪：繪制接口畫像和接口訪問軌迹，快速感知、處置風險。

8  加密流量監測：支持TLS1.3加密流量監測，支持旁路、代理(lǐ)方式。

API-SMAC落地實踐

在落地實踐方面，API-SMAC已深入政府、運營商(shāng)、金融、醫(yī)療等各行業，在某市大數據局API數據安(ān)全建設項目中(zhōng)，API-SMAC的部署應用(yòng)，為(wèi)API接口數據自由、安(ān)全流轉建立起安(ān)全可(kě)信環境：

通過對API的全量發現和梳理(lǐ)，有(yǒu)效厘清API資産(chǎn)，了解數據流動全貌；

從資産(chǎn)脆弱性、異常訪問、資産(chǎn)暴露面、賬戶風險等維度智能(néng)感知邊境内的數據流動風險，實現自動預警；

通過訪問控制、脫敏、水印等安(ān)全防護手段，實現API安(ān)全防護落地；

數據突破邊境後的溯源，實現快速定位數據洩露風險，定位洩露者，洩露時間，洩露内容，保障安(ān)全。

同時，在某大數據局API接口違規二次封裝(zhuāng)場景中(zhōng)，API-SMAC提供基于Agent的數據可(kě)信流轉監測與管控，避免接口的二次非法封裝(zhuāng)導緻的數據洩露。

市場執行x應用(yòng)創新(xīn)縱橫發力    API-SMAC盡釋領先優勢

在全球權威咨詢機構IDC發布的《IDC Perspective：中(zhōng)國(guó)API安(ān)全市場洞察，2022》報告中(zhōng)，美創API安(ān)全監測與訪問控制系統憑借突出表現，獲IDC中(zhōng)國(guó)API安(ān)全領域推薦廠商(shāng)，并入選《2023年度上海市網絡安(ān)全産(chǎn)業創新(xīn)攻關成果目錄》、 榮獲“2023年網絡安(ān)全優秀創新(xīn)成果大賽浙江十佳”等榮譽認可(kě)。

同時，美創也深入參與《電(diàn)信網和互聯網 應用(yòng)程序接口數據安(ān)全技(jì )術要求和測試方法》等國(guó)家、行業标準制定工(gōng)作(zuò)，助力API數據安(ān)全标準化建設。

在行業實踐中(zhōng)，美創API-SMAC的建設成效、創新(xīn)點和推廣示範價值也不斷獲得權威機構的認可(kě)。

• 中(zhōng)國(guó)信通院&數據安(ān)全共同體(tǐ)計劃-2023年數據安(ān)全“星熠”案例

• 中(zhōng)國(guó)信通院-2023API治理(lǐ)應用(yòng)優秀案例

• 2024數商(shāng)典型應用(yòng)場景“乘數榜”

  ……

未來，美創也将持續深入用(yòng)戶需求，推動API安(ān)全能(néng)力創新(xīn)進化，不斷滿足不同行業客戶的安(ān)全需求，守護數據安(ān)全有(yǒu)序流動。