近日，IDC2022CSO全球网络安全峰会(中国站)在上海隆重开幕，首次发布《IDCTechScape：2022(以下简称:TechScape路线图2022)。盛邦安全入选TechScape路线图变化技术曲线“API安全”技术推荐厂家，这是盛邦的安全API对安全技术领域不断创新和积累的重要认可。

　　TechScape路线图旨在帮助用户构建全面的数据安全管理系统，并使用户能够实现数据安全管理目标。这次发布的TechScape路线图2022选择了18种新兴和重要的数据安全技术进行分析。根据技术的市场影响和各种技术的发展阶段，分为三类：变革技术、领先技术和机会技术。通过对各数据安全领域的单一技术的部署、风险程度、市场热度等内容的详细研究，为每个技术提供三个推荐的制造商，为最终用户在选择产品时提供技术参考。

　　TechScape根据路线图2022报告，应用程序的规模正在迅速增长，API通过集成应用软件模式更好地连接应用程序已经成为应用程序连接和创新的基础，为技术服务提供商和用户带来更多便利。API许多攻击者也开始关注，非授权访问，数据篡改和窃取，分布式拒绝服务，SQL注入等。已经成为攻击者的使用API常用的攻击手段。

　　由于API一个应用程序可以连接多个不同语言系统的多样性和复杂性API，这无疑是给最终用户的API安全防护造成了很大的麻烦，很多用户在攻击事件后才意识到API风险。然而，由于企业的广泛存在API资产梳理不全面、不准确，在开发过程中API测试能力弱，安全配置错误，身份认证和权限控制错误，加密失败，运行过程中连续检测和监测困难，API安全意识薄弱等问题，API保护面临许多困难。

　　盛邦安全API产品市场负责人认为，传统的依赖性API网关与WAF，IPS随着防护设备的联合配合，漏漏、漏报逐渐暴露，方案整合复杂度高，针对性不足，缺点，越来越多的用户需要部署户API检测和保护设备，以实现API安全管理和控制整个生命周期。IDC定义下的API安全是帮助用户缓解和保护的一种方式API相关安全风险解决方案也是网络安全技术应用的重要领域。

　　基于其在网络资产管理和应用安全领域的技术积累，盛邦安全推出了一套API安全防护产品集资产梳理和加固保护于一体——API安全系统（RayAPI），可以在API在学习肖像的基础上，对其进行权限加固、攻击保护、数据保护和综合审计，提供全面的控制手段。

　　针对不同环境下的各种安全需求，RayAPI以下五种核心技术能力逐渐形成：

　　主被动结合API学习引擎:主动探测与被动流量分析相结合API学习引擎可以全面梳理用户业务中存在的内容API资产，并结合语义提取的流动特征，识别API状态、使用等属性，从而实现标签化的肖像管理，自动梳理正常API，影子API与问题API等内容；

　　启发式攻击检测与保护引擎：采用特征检测、语义分析与保护引擎AI学习三位一体的启发式检测引擎，通过简化已知的攻击规则和行为特征的判断逻辑，并不断训练引擎来提高发现未知风险的能力API相关注入攻击、命令攻击、异常访问和非法保护处置；

　　基于人机识别API访问控制:从流量变化和行为特征的角度对产品进行建模分析和梳理API动态跟踪访问的基线，识别和判断未经授权的访问、未知请求、非法呼叫和异常高频请求，并使用反向验证、访问限制和白名单进行访问控制；

　　面向业务的API数据调用控制：产品采用全面的检查点和丰富的数据处理模型，能够准确识别组织敏感数据、个人隐私信息、关键业务信息、系统账户密码等数据，结合业务特点进行统计分类，并结合擦除、更换和访问限制等手段实现脱敏保护；

　　面向API生命周期状态监测:基于时间、空间、业务属性、数据类型等维度API监控资产，对API全面研究判断线上状态、运行状态、调用可靠性、数据合法性和威胁情况，实现API细粒度审计和资产可视化分析。

　　基于领先的API随着防护技术和丰富的行业实践，盛邦安全将不断优化RayAPI，帮助用户更好地对抗API攻击，保护API安全无虞。