API安全市场指南.pdf
《API安全市场指南.pdf》由会员分享,可在线阅读,更多相关《API安全市场指南.pdf(31页珍藏版)》请在咨信网上搜索。
1、 北京数字世界咨询有限公司 2024.3API 安全市场指南2024 北京数字世界咨询有限公司 2024.3API 安全市场指南2024以安全能力、数字资产和数字活动为三元素,以数据安全为核心目标,即三元一核的“数字安全三元论”。“数字安全三元论”由“网络安全三元论”(数世咨询于 2020 年提出)更新迭代而来,旨在匹配数字中国建设的进程,保障数字基础设施稳定、可持续运行,保障数据有效流动、激发数据要素价值。报告编委主笔分析师:闫志坤数世咨询合伙人|市场分析师首席分析师:李少鹏报告审核分 析 团 队:数世智库数字安全产业研究院 版权声明本报告版权属于北京数字世界咨询有限公司。任何转载、摘编或利
2、用其他方式使用本报告文字或者观点,应注明来源。违反上述声明者,数世咨询将保留依法追究其相关责任的权利。数字安全是指,在全球数字化背景下,合理控制个人、组织、国家在各种活动中面临的数字风险,保障数字社会可持续发展*的政策法规、管理措施、技术方法等安全手段的总和。这里的风险,不再局限于围绕数字化资产的攻防对抗,还包括了数字资产所承载业务的稳定性、连续性和健康性。这里的安全不再特指有意还是无意,天灾还是人祸,保安还是保险,而是更为广义的安全状态(SecSafe)。*世界环境与发展委员会出版的我们共同的未来报告中,将可持续发展定义为:“既能满足 当代人的需要,又不对后代人满足其需要的能力构成危害的发展
3、。”数世咨询,2023 年 11 月目录前言 1关键发现 21API 安全概念 31.1 API 安全的关键能力 31.2其他安全能力 42市场指南 52.1能力企业 2.2市场概况 2.3需求分析 3未来发展趋势104API 安全代表厂商优秀案例124.1某大型银行 API 安全管控项目案例 12本案例由瑞数信息提供4.1.1项目背景 124.1.2项目目标 124.1.3项目方案 13目录4.1.4项目成效 144.1.5项目创新点 154.2某医院 API 安全防护项目案例 17本案例由青笠科技提供4.2.1项目背景 174.2.2防护目标 174.2.3防护方案 184.2.4项目成果
4、 184.3某金融机构一体化 API 安全监测与防护 20本案例由安胜华信提供4.3.1项目背景 204.3.2防护目标 204.3.3防护方案 214.3.5项目创新点 23 API 安全市场指南|2024 1前言随着企业日益依赖 API 来提供对服务和数据的访问,他们对 API 安全保护的重视程度也与日俱增,API(应用程序编程接口)是现代软件开发的重要组成部分。它们是不同系统之间彼此通信以及共享数据和功能的“桥梁”。它为企业实现高效的数据共享、便捷的功能集成以及微服务架构改造等提供了技术支持,成为推动企业数字化转型的关键基础设施。对 API 的日益依赖也使其成为网络犯罪分子最有吸引力的目
5、标,通过攻击 API 来破坏信息系统和窃取数据,将成为数字时代黑产活动最集中的方向之一。然而,传统的 API 网关或 WAF 的防护已无法满足企业的 API 安全需求,数字时代需要专注于 API 的安全解决方案。为了客观真实地反映 API 安全领域的市场及技术情况,数世咨询通过资料收集、问卷调研、企业访谈、市场数据分析等方法撰写API 安全市场指南报告。本报告从应用创新力与市场执行力两大维度展现API安全厂商市场能力,同时,报告还对 API 安全概念、能力企业、市场概况、需求分析、未来发展趋势等角度进行了梳理与描述,供业内人士参考。主笔分析师:闫志坤 数世咨询合伙人|市场分析师勘误与合作联系:
6、2关键发现 随着轻量级大数据技术的普及,促进了更多 API 安全产品涌现,新增了一批专注 API 安全的创新型企业;API 安全面临的最大一项挑战是全量 API 资产的发现与识别,而如何做好自动阻断功能,已成为业界共同关注的焦点;目前 API 安全最大的应用场景是数据安全,除此之外,组织采购点需要主要集中在 API 资产发现与管理、风险监测、合规、访问控制、权限管理等方面;目前API安全行业需求主要集中在政府部委、运营商、金融、互联网企业、电力;在 HW、重保、攻防演练等场景中,API 已经成为重要的攻击目标,进而驱动了组织对 API 安全的需求;2023 年国内 API 安全市场规模约为 6
7、.5 亿元,预计 2024 年将达到 10亿元。API 安全市场指南|2024 31API 安全概念本指南中的 API 安全是指,以 API 生命周期为链条,在协议覆盖、资产梳理以及攻击检测的基础上,通过大数据分析、机器学习等技术,精准描绘出业务逻辑和数据流向,进而整合各种安全资源,以达到威胁预防、攻击阻断以及敏感数据泄漏防护等目的。1.1API 安全的关键能力API 资产发现与管理通过流量分析、读取 API 文档和配置、代码分析等多种技术手段,对多种 API 格式进行全面 API 资产识别发现(包括影子 API 和僵尸 API)、归拢聚合并实时更新,是做好 API 安全防护的先决条件,也是
8、API 安全面临的最大挑战之一。API 资产发现与管理贯穿整个 API 生命周期,其中主要工作包括业务API 识别、分类打标、账号管理、容器 API 识别、资产拓扑等。攻击防护API 安全产品要能够阻止针对 API 协议的攻击,除了 plain HTTP、REST等可复用传统安全能力的协议之外,仍有诸多协议标准,如 GRPC、Dubbo、GraphQL 等;还要能够阻断 WEB 攻击,尤其是针对 OWASP API Security Top 10 中定义的网络攻击。API 安全产品应该能够检测到针对身份认证、授权攻击,以及其他类型的授权攻击。它还应该能够检测到过度的数据暴露、缺乏资源或速率限制
9、、安全错误配置、注入缺陷和批量分配缺陷等。此外,风险实时处置能力,如自动阻断或与现有安全处置系统联动形成闭环的能 力,已成为业界共同关注的焦点。4数据安全和隐私管理数据管理也是 API 安全关键能力之一,需要具备敏感数据检测、数据地图、数据流转、数据出境、数据溯源等能力;同时要对敏感数据分级分类,满足数据安全法和个人信息保护法等合规要求,须根据不同业务场景对敏感数据进行分类和分级;数据隐私方面,通过加密技术、访问控制策略等手段,保护 API 传输的数据不被未经授权的用户访问或篡改和防范数据泄露。智能分析运行时防护:安全管控平台需要对 API 运行时的流量进行监测和防护,要实现这样的能力就需要了
10、解 API 的访问、使用和行为,了解 API 安全环境的所有复杂性,解析日志、获取目录数据、审查配置、安全测试和评估设备配置等过程,利用综合数据解析 API 业务逻辑和行为,将其统一进行风险研判后,评估对 API 安全态势的影响,最后作出反馈动作。当然,AI/ML 是需要时间去学习和改进的,对于行为分析来说,越早部署,安全效能的发挥就能越早体现。攻击预防:在 AIML 的协助下高频的收集和持续分析 API 流量,并与每个源 IP 地址、每个用户和每个会话的攻击行为联系起来。因为攻击者在早期都会被动地、隐蔽地进行目标探测。还通常对客户端应用程序代码进行逆向工程以了解后端 API 的功能以及如何与
11、之通信,这种被动分析技术可以逃避大多数检测,因为它们通常是作为合法流量出现的。而 API 安全产品应该能够检测到这样流量的细微变化,达到早期攻击预防的目的。1.2其他安全能力 应用威胁感知能力 运维降噪能力 情报输入输出能力 低代码/无代码防护拓展能力 API 安全市场指南|2024 52市场指南入选本报告的 API 安全厂商(按公司简称首字母排序):安胜华信、安络科技、梆梆安全、保旺达、边界无限、从云科技、大拙信息、观安信息、联软科技、绿盟科技、美创科技、奇安信、青笠科技、全知科技、瑞数信息、上海喜数、深信达、数安行、腾讯安全、威胁猎人、芯盾时代、星阑科技、亿格云,共 23 家。2.1能力企
12、业根据厂商在 API 安全营收占比、业务专注度等多维度因素,将其划分为专业赛道厂商、综合业务厂商两大类,横坐标是市场执行力、纵坐标是应用创新力为依据,通过能力点阵图的方式展现如下:图 1专业赛道厂商6专业赛道厂商是指专注于 API 安全领域,核心业务围绕 API 安全产品、占据公司主要营收,在 API 安全市场具有一定影响力、同行/客户推荐度较高的企业。图 2综合业务厂商综合业务厂商是指业务范围广泛,不局限于 API 安全产品,通常将 API 安全产品与其他安全产品集成形成更全面的解决方案,满足客户多样化的安全需求。API 安全点阵图横坐标“市场执行力”包括市场营收、品牌影响力、行业广度、行业
13、深度等维度,纵坐标“应用创新力“包括产品工程化、业务场景化、理论与基础研究、技术融合度、业务纯净度等维度。2.2市场概况目前 API 安全在国内市场处于“新兴市场”。在数世咨询中国数字安全能力图谱 2024属于“应用场景安全”方向中“互联网业务安全”的二级分类。API 安全市场指南|2024 7图 3在中国数字安全能力图谱 2024位置图 4近五年 API 安全市场规模据本次调研统计,2023 年 API 安全市场规模约在 6.5 亿元,根据参与调研的各安全厂商对本年 API 安全产品收入情况预估,预计 2024 年 API 市场规模预计达到 10 亿元左右,API 安全市场仍处于发展初期,未
14、来增长潜力巨大。图 5API 安全产品交付模式占比8其中产品作为单一标准化产品交付方式占 48%,定制化产品交付及运营占22%,作为安全项目中的一个功能进行交付占 28%,订阅模式占 2%。图 6API 安全产品在各行业应用情况根据调研结果,国内各行业组织对 API 安全的投入情况如下所示,前五名行业分别为政府部委(28%)、运营商(19%)、金融(11%)、互联网企业(10%)、电力(9%)。这些数据表明政府和涉及重要基础设施的行业对 API 安全需求和投入更为显著,特别是在 HW、重保、攻防演练等场景中,API 已经成为重要的攻击目标,因此,API安全在保障数据和服务的安全方面具有至关重要
15、的作用。此外,互联网企业由于自身业务特殊性、复杂性,部分头部企业采用了自主研发 API 安全产品,来满足自身使用需求。图 7API 安全产品主要客户覆盖地区 API 安全市场指南|2024 9此外,API 安全产品主要客户的覆盖区域也存在鲜明的特征,其中华南地区(27%),华东地区(28%),华北地区(21%)为主要的客户所在地区。这些地区在 API 安全产品客户中占据显著份额,反映出对 API 安全的明显需求。这种需求增长可能部分归因于这些地区拥有大量科技企业、互联网公司和其他高度依赖 API 的组织。高占比的地区表明 API 安全提供商需要特别关注这些地区,提供个性化的市场推广和客户支持,
16、以满足这些地区客户的需求。同时,也需要不断探寻其他地区的潜在机会,以扩展市场份额。2.3需求分析根据本次调研,数世咨询分析得出,目前国内组织采购 API 安全相关解决方案的需求主要围绕以下几个方面:API 资产发现与管理:全面梳理 API 资产,实现全生命周期管理,包括API发现、分类分级、变更管理等,难点在于影子API和僵尸API的发现和管理。API 风险监测:识别 API 漏洞、数据安全风险和异常行为,并及时采取措施进行修复和防护。API 访问控制:实施细粒度的访问控制和权限管理,确保只有授权用户和应用程序才能访问 API 资源。数据安全:保护 API 传输和存储的敏感数据,包括数据加密、
17、脱敏和防泄漏。安全合规:满足相关数据安全法规和行业标准的要求,提供合规性检查和报告功能,帮助企业满足合规性要求。103未来发展趋势1、数据合规和隐私保护愈加严格驱动 API 安全落地随着政府和行业对 API 安全监管力度将不断加强,相应的法规和标准不断完善,企业必须重视 API 合规性,以规避监管风险。特别是数据分类分级、数据安全出境等方面,企业需要建立健全的 API 安全管理体系以满足合规需求。2、API 安全技术向着智能化发展未来,API 安全产品会具备访问风险实时检测能力/处置能力/溯源能力、低代码/无代码防护拓展能力等安全能力,我们将看到大数据分析、机器学习、行为分析等人工智能技术将在
18、 API 安全领域进一步深化。3、API 安全未来向着一体化生长型平台发展API 安全将成为打通内部网络安全、数据安全和外部应用安全、业务安全的重要防护手段。未来,API 安全平台将在同一个数据平台上集成 API 安全治理、应用环境威胁感知、敏感信息流动监测、访问实体行为监控、业务逻辑安全等安全功能,向着一体化生长型平台发展。4、API 安全平台与 DevSecOps 流程对接,强化 API 全生命周期安全安全左移(软件物料清单、开发安全)是支撑 API 安全重要环节之一,API 安全平台将与 DevSecOps 流程对接,保护 API 生命周期中都得到安全保障。5、新增基于业务逻辑的反欺诈功
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- API 安全 市场 指南
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【宇***】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【宇***】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。