数据是國(guó)家基础性战略资源，随着《数据安(ān)全法》、《个人信息保护法》等法律法规的施行，数据安(ān)全需求愈发凸显。國(guó)家网信办(bàn)、工(gōng)信部等多(duō)个部门陆续出台了相关的监管政策，数据安(ān)全保护和数据合规建设已成為(wèi)企业数字化转型及创新(xīn)发展的重要举措，而创新(xīn)的基础要素之一便是API。

API 是现代移动、SaaS和 Web 应用(yòng)程序的重要组成部分(fēn)，是传统行业价值链全面数字化的关键技(jì )术。由于绝大部分(fēn)的数据外部访问都需要通过 API 接口对外提供，由于身份鉴别缺失、权限控制不严、业務(wù)漏洞等导致的脱库、撞库、数据爬取等数据安(ān)全问题层出不穷，API还会暴露应用(yòng)程序逻辑和敏感数据， 如个人可(kě)识别信息（PII），因此日益成為(wèi)攻击者的目标。

从业務(wù)层面来看，API所面临的安(ān)全风险有(yǒu)敏感数据泄露、虚假注册、虚假营销、薅羊毛等。爱加密API安(ān)全网关可(kě)為(wèi)API上線(xiàn)后的运行提供安(ān)全防护，综合利用(yòng)前端风险检测技(jì )术、后端规则引擎以及机器學(xué)习模型，通过自研流式大数据平台进行驱动，关联前端风险和后端流量进行综合分(fēn)析。具(jù)备自动化的API资产(chǎn)发现与管理(lǐ)、API终端环境风险检测、规则及模型流量风险分(fēn)析、API数据泄漏分(fēn)析、风险溯源及处置、灵活的系统部署交付及扩展等多(duō)种能(néng)力。

爱加密API安(ān)全网关能(néng)够帮助客户解决API资产(chǎn)不清、API风险防御能(néng)力不足、API风险处置不及时等问题，适用(yòng)于金融、政府、运营商(shāng)、航空、電(diàn)商(shāng)、互联网企业等不同行业客户，帮助客户解决不同的业務(wù)安(ān)全场景及数据安(ān)全场景问题，帮助企业规避数字化转型过程中(zhōng)由API带来的业務(wù)安(ān)全风险及数据安(ān)全风险。

核心功能(néng)

• API资产(chǎn)发现与管理(lǐ)：API资产(chǎn)全面普查、“僵尸”API发现、API资产(chǎn)库持续更新(xīn)

• 敏感数据泄露防护：敏感数据识别与发现、敏感数据泄露风险防御

• API安(ān)全风险识别：终端环境风险检测、基于流量的异常行為(wèi)规则及风险模型分(fēn)析

• API安(ān)全风险处置：阻断、二次验证、重定向、蜜罐数据验证、安(ān)全设备/业務(wù)系统联动、风险标签回填、黑白名(míng)单匹配、风险指数评分(fēn)等

   

产(chǎn)品价值

1、保护客户的业務(wù)及数据安(ān)全

利用(yòng)前端风险检测与后端的大数据流量分(fēn)析技(jì )术，识别敏感数据泄露的攻击行為(wèi)，并进行封禁阻断，有(yǒu)效对抗黑灰产(chǎn)攻击，减少损失。

2、降低API管理(lǐ)成本

支持自动并持续地发现所有(yǒu)内部、外部和第三方API，大幅减少人工(gōng)统计及参与成本，帮助掌握全局API资产(chǎn)，降低用(yòng)户方管理(lǐ)成本。

3、提升企业合规能(néng)力

通过自动化识别API接口中(zhōng)的各种敏感数据，為(wèi)管理(lǐ)者生成敏感数据API接口的资产(chǎn)地图。让管理(lǐ)者及时了解敏感数据风险态势，并对敏感的数据进行及时规避，同时提高验证机制，确保满足监管单位的合规要求。

4、提升程序安(ān)全性

通过前端环境风险检测、异常行為(wèi)规则引擎、异常行為(wèi)风险模型等方式，结合前端风险检测与后端流量分(fēn)析能(néng)力，快速对API安(ān)全风险进行识别，提升程序整體(tǐ)的安(ān)全性。