8月26日，全球領先的IT研究和諮詢公司IDC發布了《IDC TechScape：中國數據安全技術發展路線圖，2022》，選取了18個新興及重要的數據安全技術進行分析，並從變革型、遞增型和機會型技術三大類別，來呈現不同數據安全技術與服務的技術點、技術優劣勢、發展階段、風險程度、市場熱度和標杆廠商，幫助用戶了解和選擇適合其自身業務發展要求的數據安全產品與服務組合。

瑞數信息作為中國數據安全領域的中堅力量，推出的API安全管控平台將面向攻擊的主動防禦能力和AI智能數據分析能力全面融合，被列為IDC TechScape：數據安全變革性技術之API安全代錶廠商。

API正在成為實現商業創新和數字化轉型的核心技術手段，其連接的已不僅是系統和數據，還有企業、客戶、合作夥伴，甚至整個商業生態，成為當下網絡應用流量的重要出入口，越來越多的攻擊者正利用API來實施自動化的高效攻擊。

IDC指出，API安全日漸成為了一個重要的數據安全、應用安全領域。目前，傳統在Web應用安全網關等產品中的API防護功能已經不足以防護日益複雜的API攻擊，API安全應站在全生命週期管理的角度，從API安全開發和部署（API 測試等）開始，配合加密、身份認證、權限管控、API安全測試、檢測、監測、威脅防護、威脅處理等能力來進行管理和控制。

總體來看，最終用戶面臨的API安全防護困境主要集中在API資產梳理不全面、不准確、開發過程中的API測試能力較弱、安全配置錯誤、身份認證與權限管控失誤、加密失敗、運行過程中持續的檢測監測難、API 安全意識薄弱等問題。

作為中國API安全代錶廠商，瑞數信息基於用戶在API安全防護的痛點，在技術路線上將主動防禦能力與AI智能數據分析能力進行全面融合，由此推出了具有API感知、發現、監測、保護能力的瑞數API安全管控平台，覆蓋API安全防護管理全生命週期。

有別於很多從API安全網關角度切入的安全方案，瑞數API安全管控平台著重強調API相關威脅的識別能力和防護能力的提升，以行為分析為基礎更細粒度、更準確地識別風險，實現從API接入客戶端到API服務器端的全程式API安全威脅防護。

具體而言，瑞數API安全管控平台包括：API資產管理、攻擊防護、敏感數據管控、訪問行為管控四大模塊，為API接口提供完整的安全管控方案。

l API資產管理模塊：持續發現API接口，建立API清單，與業務方提供的API目錄進行比對，及時發現未知的API和殭屍API。自動對API接口實現分類、分組、並指派責任人，實現數據分權管理。提取API 接口的元數據，為API接口提供可視化的詳情展示。

l API攻擊防護模塊：基於已知業務邏輯和依賴關係定義API接口調用順序，防止繞過業務邏輯的訪問行為，提前設置接口請求參數調用規則，拒絕非法的API請求參數調用，降低安全配置錯誤，縮小攻擊面;支持API安全攻擊檢測和防護，並引入語義分析技術，進一步提高檢測準確性。

l API敏感數據管控模塊：內置敏感信息檢測引擎，覆蓋OWASP API Security Top10、姓名、手機號、身份證、銀行卡、密碼等18種敏感數據類型，對敏感信息進行自動分級，實時洞察API接口中雙向傳輸的敏感數據、明文密碼和弱密碼，並及時對API 接口回傳報文中的敏感信息進行脫敏處理，規避數據洩漏風險。

l 異常行為監控模塊：基於多維度實時監控API接口的訪問行為，包括訪問成功率、耗時、TPS、並發數等維度，建立API訪問基線，及時發現偏離基線的異常訪問行為;內置API 業務威脅模型，透視API常見的業務威脅，如:撞庫、爬蟲等。

l API訪問控制模塊：內置靈活的API訪問控制策略，可基於API接口、源IP、訪問頻率、客戶端指紋、API令牌、User Agent、HTTP請求特徵等上百個元素，對API接口實現精細化的訪問控制，支持對維度限頻、攔截、延時等。

瑞數API安全管控平台不僅可以快速自動地發現API，並且針對發現的API給出明確的認定，還可以顯示出清晰的API列表，對API接口的訪問情況一目了然。同時，通過精準地構建API畫像，可以快速預覽各個業務的API情況，包括使用情況、異常情況、訪問來源等，並且可根據行為分析的結果或指定條件，進行動態響應防護，提升通過逆向探測或機器學習分析等攻擊手段的難度。

瑞數API安全管控平台已廣泛應用於金融、快消、零售、運營商、能源等多個行業，為企業實現API安全管控和數據安全提供有力支持。

入選IDC TechScape API安全技術推薦廠商的背後，是瑞數信息緊緊貼合市場趨勢與用戶需求，在技術上不斷精進創新，長期以來收穫了市場與用戶的認可。未來，瑞數信息將持續打磨API安全技術和方案，為用戶帶來實實在在的價值，助力企業合規建設數據安全，有效抵禦API新興威脅。