升华安全佳（GoUpSec）：2022年中国网络安全行业API安全产品及服务购买指南（106页）.pdf

《升华安全佳（GoUpSec）：2022年中国网络安全行业API安全产品及服务购买指南（106页）.pdf》由会员分享，可在线阅读，更多相关《升华安全佳（GoUpSec）：2022年中国网络安全行业API安全产品及服务购买指南（106页）.pdf（106页珍藏版）》请在三个皮匠报告上搜索。

1、 1 20222022 年中国网络安全行业年中国网络安全行业 APIAPI 安全产品及服务购买指南安全产品及服务购买指南 20222022 年年 9 9 月发布版月发布版 1 目录 前言.1 Akamai 阿卡迈.8 北京安华金和科技有限公司.12 北京从云科技有限公司.25 北京长亭科技有限公司.30 深圳红途科技有限公司.35 北京九州云腾科技有限公司.39 上海派拉软件股份有限公司.43 全知科技（杭州）有限责任公司.60 瑞数信息技术（上海）有限公司.68 北京三江信达信息科技有限责任公司.72 杭州世平信息科技有限公司.78 思睿嘉得信息技术有限公司.81 薮猫科技有限公司.83 北

2、京芯盾时代科技有限公司.86 北京星阑科技有限公司.89 杭州亿格云科技有限公司.96 深圳永安在线科技有限公司.99 1 前言 API 安全是当下企业和互联网面临的最严峻的网络安全挑战之一，根据 Gartner 的研究，2022 年，超过九成 Web 应用程序遭到的攻击来自 API，而不是人类用户界面。API 安全问题正给企业带来巨大损失，除了数据泄露、品牌与合规风险外，API 安全问题可导致新产品或服务的发布延期甚至取消，企业创新被遏制，数字化转型受挫；大规模数据泄露或业务中断甚至会对关键基础设施和数字经济造成严重威胁和损失。API 安全的难点或者说悖论在于，尽管大多数安全专业人士建议隐藏

3、资源减少暴露面和攻击面，但业务上成功部署的 API 却倾向使资源更加开放和可用。API 的安全困局实际上也是现代 IT 面临的一个共性问题。对于安全团队而言，这意味着选择合适 API 安全产品方案并制定平衡的、良好的 API 风险缓解策略尤为重要。API 安全已经失控 根据 Akamai 的一项统计，API 请求已占所有应用请求的 83%，预计 2024 年 API 请求命中数将达到 42 万亿次，但 API 安全威胁却比 API 调用增长更迅猛。安全问题在 API 项目关注的名单中名列前茅，很少有受访者认为他们有信心识别和阻止 API 攻击。API 安全已经濒临失控，主要表现为以下几个方面：

4、API 攻击暴增。过去的 12 个月中，API 攻击增加了 681%，而整体 API 流量也增加了 321%。根据 Gartner 的数据，到 2024 年 API 攻击还将加速并翻一番。Salt Security 的调查显示，超过三分之二的企业缺少基本的 API 安全策略。2 企业的 API 安全管理未能覆盖 SDLC 生命周期，往往只是作为马后炮和附属品。安全团队普遍缺乏专业的 API 管理工具和安全防护。随着新技术（例如 REST/GraphQL）的普及和新业务的发展，API 数量不断增长，API 管理正变得更加困难。独特的安全挑战 API 安全同时也是非常独特的挑战。首先，API 是与

5、企业业务关联最紧密，暴露和攻击风险最高，防护难度最大的技术组件之一。其次，API 带来了很多传统安全技术无法解决的挑战，例如 API 没有客户端组件，因此传统的防御技术（如 Captchas 或 JavaScript）和移动 SDK 工具无法有效地防止自动攻击。最后，随着企业数字化转型进入深水区，API 数量不断增长，与此同时 API 每天都不断地被启动、更新或替换，这些都给 API 安全运营管理带来极大挑战。无数 API 安全事件表明，企业仅仅依赖互联网边界安全工具（例如 WAF）和云负载保护平台已经无法有效应对 API威胁的快速增长。正因为其紧迫性、独特性和重要性，API 安全正在被作为一

6、个独立的安全项目和技术领域被企业和网络安全业界广泛重视，Gartner（WAAP）和 OWASP 都为 API 安全创建了单独的分类和威胁列表。虽然目前市场上已经有大量网络安全厂商能够提供 API 安全相关产品方案，但对于企业用 3 户来说，了解并选择适合自身需求的 API 安全产品方案本身依然颇具挑战性。API 安全解决方案的选型 随着对 API 安全问题逐步重视、国家已经陆续出台多部数据接口有关的标准规范，对数据接口在不同领域的应用、部署、管理、防护进行了规范，API 安全技术也得到大力发展，当前常见的技术从功能上看包含了 API 发现、API 身份与访问控制、API 消息安全、API 传