2021世界互联网大会|全知科技重磅发布“API风险监测产品2.0”
作者: 日期:2021年09月28日 阅:955

近年来,得益于信息技术和大数据的快速发展,我国互联网应用服务得到广泛布局,数字生态持续丰富。数字经济持续深度渗透,为我们带来数字化便利的同时,也为高质量发展建设数字社会新形态注入强大动力。

1、大会概况

2021年9月25日-28日,由国家互联网信息办公室和浙江省人民政府共同举办的2021年世界互联网大会乌镇峰会在乌镇召开,峰会以“迈向数字文明新时代——携手构建网络空间命运共同体”为主题,汇聚了线上线下近2000名来自各国政府、行业机构、中外互联网企业、科研机构等代表,共同探讨网络空间发展治理等诸多议题。

全知科技出席本次峰会,并重磅发布了API风险监测新产品;同时,在“网络空间安全和个人信息保护”主题展区,展示了数据安全领域的产品和技术成果,与全球行业人士共同交流探讨数据安全发展之道!

2、新品发布

在数字经济高速发展的背景下,数据成为第一生产力;然而,在利用数据赋能的同时,也面临着诸多安全风险,其中,由API导致的数据安全问题尤为突出。9月27日,在A馆红亭“新产品新技术发布”现场,全知科技产品总监王伟光发布了全知科技“API风险监测产品2.0”,并分享了配套该产品的《数据安全和隐私保护场景下的API风险监测方案》。

API安全风险突出

API类似于数据流转的阀门,连接着各种服务、应用和终端;同时也链接着企业的职能部门、客户和合作伙伴,甚至企业的整个商业生态。目前,为了适应业务的快速发展,企业会开放大量的API,而由此造成的数据安全风险敞口,并没有对应有效的安全体系,范围越来越广、量级越来越大的数据泄露事件频繁发生,极大程度上损害了相关企业和用户权益,严重时,更会危及国家安全。

API安全建设难点

目前,面临的API数据风险问题十分严峻,但现有的安全解决方案难以应对API风险。企业在落地建设API安全的时候,通常会有以下3个问题:

·资产梳理不清:企业在做API资产盘点的时候,仍然停留在主机/服务/端口维度,导致无法清楚的知道有哪些API接口,以及哪些API接口可以获取敏感数据。

·脆弱性评估弱:在做API安全评估的时候,往往依赖扫描能力,导致评估效率低,覆盖面不全;企业无法确认是否对所有重要接口做了安全评估。

·威胁检测不足:只能基于已知特征的APT、勒索软件、木马、病毒进行威胁监测;企业无法实时发现数据泄露以及针对API接口特征的攻击。

王伟光表示,在面对企业业务迭代速度快,数据量庞大杂及外部攻击方式多变、攻击行为复杂的现状,市面现有“被动”的安全防控体系无法灵活感知评估风险,也未能完全覆盖API数据安全风险场景,导致风险漏判、误判的概率大幅增加。

为了更好的应对API风险挑战,帮助企业建立更有效、能落地、可持续运营的API数据安全建设,全知科技分享了基于数据安全和隐私保护场景下,以API与数据为中心的风险监测方案。

——方案价值

·资产梳理-从“一锅粥”到“一本帐”:持续清点所有API,包括影子API和僵尸API;识别暴露PII或其他敏感数据的API ,缩减攻击面和数据暴露面。

·脆弱性评估-从“分散多点”到“全面覆盖”:全面评估数据权限类、数据暴露类、安全规范类、口令认证类、高危接口类5大类等30+项的API接口。

·风险监测-从“被动堵漏”转为“主动防护”:对账号安全、数据泄露、API攻击、API生命周期进行主动全方位的监测和防护。

在首部数据法律《数据安全法》出台施行的契机下,“数据安全”已成为社会高度关注的焦点问题,社会各界对数据保护和数据安全治理的诉求越来越强烈。全知科技API风险监测系统2.0及这套以API与数据为中心的安全解决方案,精准对症目前存在的API数据安全难题,引起了现场嘉宾极大的关注;新品发布后,参会嘉宾们纷纷围绕全知科技API新品和解决方案进行了热烈的交流和讨论。

3、全知牵头API国标项目研究

API是影响数据安全和个人信息保护的重要风险来源,《数据安全法》对数据处理活动加强风险监测也提出了更明确、更严格的要求。因此,规范API数据安全风险的监测标准,是数据安全行业良性发展的必要条件。

由全知科技牵头研究的国家标准《数据接口安全风险监测 技术方法》已于今年获得正式立项,将进一步对API风险监测技术要求予以规范,帮助数据责任方更好的遵循《数据安全法》,保障数据安全和个人的合法权益。

在API风险监测技术要求的规范下,应声推出的全知科技“API风险监测系统2.0”,也将支撑企业更好的落地新一代数据安全建设,提高企业安全治理能力。

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章