GoUpSec API安全产品及服务购买指南

2022 年中国网络安全行业《API 安全产品及服务购买指南》 2022 年 9 月发布版 1 目录前言 .................................................................................................................................................. 1 Akamai 阿卡迈 .............................................................................................................................. 8 北京安华金和科技有限公司 ......................................................................................................... 12 北京从云科技有限公司................................................................................................................. 25 北京长亭科技有限公司................................................................................................................. 30 深圳红途科技有限公司................................................................................................................. 35 北京九州云腾科技有限公司 ......................................................................................................... 39 上海派拉软件股份有限公司 ......................................................................................................... 43 全知科技（杭州）有限责任公司 ................................................................................................. 60 瑞数信息技术（上海）有限公司 ................................................................................................. 68 北京三江信达信息科技有限责任公司 ......................................................................................... 72 杭州世平信息科技有限公司 ......................................................................................................... 78 思睿嘉得信息技术有限公司 ......................................................................................................... 81 薮猫科技有限公司......................................................................................................................... 83 北京芯盾时代科技有限公司 ......................................................................................................... 86 北京星阑科技有限公司................................................................................................................. 89 杭州亿格云科技有限公司............................................................................................................. 96 深圳永安在线科技有限公司 ......................................................................................................... 99 1 前言 API 安全是当下企业和互联网面临的最严峻的网络安全挑战之一，根据 Gartner 的研究， 2022 年，超过九成 Web 应用程序遭到的攻击来自 API，而不是人类用户界面。 API 安全问题正给企业带来巨大损失，除了数据泄露、品牌与合规风险外， API 安全问题可导致新产品或服务的发布延期甚至取消，企业创新被遏制，数字化转型受挫；大规模数据泄露或业务中断甚至会对关键基础设施和数字经济造成严重威胁和损失。 API 安全的难点或者说悖论在于，尽管大多数安全专业人士建议隐藏资源减少暴露面和攻击面，但业务上成功部署的 API 却倾向使资源更加开放和可用。API 的安全困局实际上也是现代 IT 面临的一个共性问题。对于安全团队而言，这意味着选择合适 API 安全产品方案并制定平衡的、良好的 API 风险缓解策略尤为重要。 API 安全已经失控根据 Akamai 的一项统计， API 请求已占所有应用请求的 83%，预计 2024 年 API 请求命中数将达到 42 万亿次，但 API 安全威胁却比 API 调用增长更迅猛。安全问题在 API 项目关注的名单中名列前茅，很少有受访者认为他们有信心识别和阻止 API 攻击。API 安全已经濒临失控，主要表现为以下几个方面： • API 攻击暴增。过去的 12 个月中， API 攻击增加了 681%，而整体 API 流量也增加了 321%。根据 Gartner 的数据，到 2024 年 API 攻击还将加速并翻一番。 • Salt Security 的调查显示，超过三分之二的企业缺少基本的 API 安全策略。 1 • 企业的 API 安全管理未能覆盖 SDLC 生命周期，往往只是作为马后炮和附属品。 • 安全团队普遍缺乏专业的 API 管理工具和安全防护。 • 随着新技术（例如 REST/GraphQL）的普及和新业务的发展，API 数量不断增长， API 管理正变得更加困难。独特的安全挑战 API 安全同时也是非常独特的挑战。首先，API 是与企业业务关联最紧密，暴露和攻击风险最高，防护难度最大的技术组件之一。其次，API 带来了很多传统安全技术无法解决的挑战，例如 API 没有客户端组件，因此传统的防御技术（如 Captchas 或 JavaScript）和移动 SDK 工具无法有效地防止自动攻击。最后，随着企业数字化转型进入深水区，API 数量不断增长，与此同时 API 每天都不断地被启动、更新或替换，这些都给 API 安全运营管理带来极大挑战。无数 API 安全事件表明，企业仅仅依赖互联网边界安全工具（例如 WAF）和云负载保护平台已经无法有效应对 API 威胁的快速增长。正因为其紧迫性、独特性和重要性，API 安全正在被作为一个独立的安全项目和技术领域被企业和网络安全业界广泛重视，Gartner（WAAP）和 OWASP 都为 API 安全创建了单独的分类和威胁列表。虽然目前市场上已经有大量网络安全厂商能够提供 API 安全相关产品方案，但对于企业用 2 户来说，了解并选择适合自身需求的 API 安全产品方案本身依然颇具挑战性。 API 安全解决方案的选型随着对 API 安全问题逐步重视、国家已经陆续出台多部数据接口有关的标准规范，对数据接口在不同领域的应用、部署、管理、防护进行了规范， API 安全技术也得到大力发展，当前常见的技术从功能上看包含了 API 发现、 API 身份与访问控制、 API 消息安全、 API 传输安全、威胁缓解、 API 威胁检测、 API 安全审计、 API 监测与跟踪、 API 管理等几个方面。从企业和供应商角度来看，API 安全解决方案应遵循持续“发现、库存、合规、检测、防护 /响应、测试”的安全生命周期模型进行开发和部署： • 发现：持续自动化的 API 发现，识别影子 API、无记录 API 和过期 API；识别 API 配置错误及敏感数据泄露；API 漏洞发现，开源组件漏洞发现等。 • 管理：统一管理 API 库存资产。 3 • 合规：确保遵循相关政策法规与风险治理策略和最佳安全实践 • 检测：攻击者识别与关联；不依赖威胁情报等静态元数据；行为检测与异常检测；数据泄露检测。 • 防护：身份与访问控制；攻击防护（例如 OWASP API TOP10）；应用层 DDoS（限速限流）；凭证填充与暴力攻击；恶意请求，例如 API 流量分析与业务逻辑攻击。 • 响应：与 SIEM 和 SOAR 集成；攻击与泄密的溯源和追责。 • 测试：新 API 上线前检测、审计，从源头减少配置错误和安全漏洞。在市场细分方面，API 安全产品和解决方案主要分为 CDN（不提供端到端安全性）和纯 API 安全两大类，本指南收录的 API 安全方案大多属于纯 API 安全管控平台。目前市场上的纯 API 安全产品和方案的常见功能和卖点如下： • 可视化的统一管理与监控 • 业务零摩擦 • 发现内部、外部、僵尸、未知和影子 API • 监控攻击者侦察活动 • 阻止单个