 |
API監(jiān)控防護(hù)服務(wù)-akamai
專用API
【更新時(shí)間: 2024.08.12】
全面監(jiān)測(cè) API,并檢測(cè)更多隱藏的威脅,借助 API Security,您可以持續(xù)進(jìn)行 API 發(fā)現(xiàn)和實(shí)時(shí)分析,從而全面監(jiān)測(cè)整個(gè) API 資產(chǎn)。發(fā)現(xiàn)所有 API(甚至是影子 API)。
|
瀏覽次數(shù)
22
采購(gòu)人數(shù)
0
試用次數(shù)
0
SLA: N/A
響應(yīng): N/A
適用于個(gè)人&企業(yè)
收藏
×
完成
取消
×
書簽名稱
確定
|
- API詳情
- 常見 FAQ
- 關(guān)于我們
- 相關(guān)推薦
什么是akamai的API監(jiān)控防護(hù)服務(wù)?
API監(jiān)控防護(hù)服務(wù)【akamai】全面監(jiān)測(cè) API,并檢測(cè)更多隱藏的威脅,借助 API Security,您可以持續(xù)進(jìn)行 API 發(fā)現(xiàn)和實(shí)時(shí)分析,從而全面監(jiān)測(cè)整個(gè) API 資產(chǎn)。發(fā)現(xiàn)所有 API(甚至是影子 API)、識(shí)別常見漏洞并分析 API 行為,以檢測(cè)這一快速增長(zhǎng)的攻擊面中出現(xiàn)的威脅和邏輯濫用。
akamai的API監(jiān)控防護(hù)服務(wù)有哪些核心功能?
1.發(fā)現(xiàn)以下類型的所有 API、域名和相關(guān)問題:HTTP、RESTful、GraphQL、SOAP、XML-RPC 和 JSON-RPC。
2.快速識(shí)別可通過 API 訪問的敏感數(shù)據(jù),并跟蹤用戶對(duì)這些 API 的訪問情況。
3.查看日志文件、歷史流量回放、配置文件等內(nèi)容,以評(píng)估 API 和更廣泛基礎(chǔ)架構(gòu)中的錯(cuò)誤配置和漏洞。
4.識(shí)別潛在安全漏洞并確定其優(yōu)先級(jí)(包括 OWASP 十大 API 安全漏洞),并降低補(bǔ)救成本。
5.利用 AI/ML 檢測(cè)技術(shù)實(shí)時(shí)識(shí)別 API 漏洞,包括數(shù)據(jù)泄漏、數(shù)據(jù)篡改、數(shù)據(jù)政策違規(guī)、可疑行為和 API 安全攻擊。
6.自動(dòng)運(yùn)行 150 多項(xiàng)模擬惡意流量(包括 OWASP 十大 API 安全漏洞)的動(dòng)態(tài)測(cè)試。
7.利用實(shí)時(shí)流量分析、帶外監(jiān)控和工作流集成來檢測(cè)并阻止 API 攻擊,從而提升 SOC 有效性。
8.將補(bǔ)救措施集成到現(xiàn)有的工作流管理系統(tǒng)中,針對(duì)不同的告警類型實(shí)施手動(dòng)、半自動(dòng)或全自動(dòng)補(bǔ)救。
9.利用 RBAC 與現(xiàn)有 CI/CD 管道全面集成,確保只有合適的團(tuán)隊(duì)才能訪問 API 以進(jìn)行測(cè)試。
10.通過導(dǎo)入來源廣泛的 API 來獲取動(dòng)態(tài) API 監(jiān)測(cè)能力,同時(shí)對(duì) Swagger 文件進(jìn)行動(dòng)態(tài)更新和比較以評(píng)估是否符合要求。
11.按固定時(shí)間間隔自動(dòng)掃描您的外部攻擊面,在漏洞被利用前及早找到并消除它們。
akamai的API監(jiān)控防護(hù)服務(wù)的技術(shù)原理是什么?
1. 發(fā)現(xiàn)
持續(xù)深入地進(jìn)行 API 發(fā)現(xiàn),生成不斷更新的 API 清單。
2. 測(cè)試
在不影響速度的情況下提升 CI/CD 管道的安全性,在將 API 投入生產(chǎn)環(huán)境之前確保其安全
3. 檢測(cè)
利用大數(shù)據(jù) AI 和實(shí)時(shí)流量分析,檢測(cè) API 資產(chǎn)中的異常情況并發(fā)出告警。
4. 響應(yīng)
利用自動(dòng)響應(yīng)對(duì)問題進(jìn)行補(bǔ)救,并集成 Jira、ServiceNow、Slack 和 SIEM 等現(xiàn)有工作流。
akamai的API監(jiān)控防護(hù)服務(wù)的核心優(yōu)勢(shì)是什么?
1. 發(fā)現(xiàn)所有 API 資產(chǎn)
全天候持續(xù)進(jìn)行發(fā)現(xiàn)和監(jiān)控,查看企業(yè)范圍的所有 API,包括遺留 API、影子 API 和惡意 API。
2. 識(shí)別易受攻擊的 API
通過審核發(fā)現(xiàn)各種漏洞和錯(cuò)誤配置(涵蓋 OWASP 十大 API 安全漏洞)。
3. 抵御商業(yè)邏輯濫用
識(shí)別常見威脅(如數(shù)據(jù)抓取),并觸發(fā)響應(yīng)措施以抵御威脅。
在哪些場(chǎng)景會(huì)用到akamai的API監(jiān)控防護(hù)服務(wù)?
1. 在將 API 投入生產(chǎn)環(huán)境之前對(duì)其進(jìn)行測(cè)試
API 測(cè)試對(duì)于您的 API 安全策略來說至關(guān)重要,因?yàn)樗梢詭椭髽I(yè)進(jìn)行“左移”——在軟件開發(fā)生命周期 (SDLC) 的早期階段檢測(cè)并修復(fù)安全和邏輯漏洞,避免它們進(jìn)入生產(chǎn)環(huán)境。有了 API 測(cè)試,您可以自動(dòng)運(yùn)行 150 多項(xiàng)可模擬惡意流量的動(dòng)態(tài)測(cè)試,包括針對(duì) OWASP 十大 API 安全漏洞的測(cè)試。在開發(fā)的任意階段,您都可以將測(cè)試安排為按所需的時(shí)間間隔自動(dòng)運(yùn)行。
2. 獲取企業(yè)范圍內(nèi) API 的清單
獲取整個(gè)企業(yè)內(nèi)所有 API 的完整清單并對(duì)其持續(xù)進(jìn)行更新,這是任何 API 安全策略的重要基礎(chǔ)。鑒于與 API 攻擊相關(guān)的風(fēng)險(xiǎn)日益加劇,只在需要時(shí)發(fā)現(xiàn)或每日發(fā)現(xiàn) API 已經(jīng)遠(yuǎn)遠(yuǎn)不夠。
除了這些,還必須能夠顯示實(shí)際 API 行為(API 調(diào)用)并進(jìn)行可視化,才能讓安全、開發(fā)和運(yùn)營(yíng)團(tuán)隊(duì)的關(guān)鍵利益相關(guān)者查看和了解 API 的使用或?yàn)E用情況,以便他們能夠在團(tuán)隊(duì)之間進(jìn)行溝通并調(diào)查案例。
API Security 支持自動(dòng)持續(xù)發(fā)現(xiàn)不同技術(shù)環(huán)境和基礎(chǔ)架構(gòu)中的 API。它還可以發(fā)現(xiàn)新部署的 API,并將發(fā)現(xiàn)的 API 屬性與任何現(xiàn)有文檔進(jìn)行比較。API Security 可以識(shí)別影子 API 并檢測(cè)已知 API 漏洞的所有實(shí)例,例如 OWASP 十大 API 安全漏洞中列出的漏洞。
API 發(fā)現(xiàn)從來不是一勞永逸的事。我們的解決方案可以全天候執(zhí)行這項(xiàng)功能,持續(xù)發(fā)現(xiàn)新的 API 和現(xiàn)有 API 的變更。安全團(tuán)隊(duì)能夠充分掌握所有 API 的情況,并且第一時(shí)間獲悉開發(fā)人員部署的新 API 或服務(wù)。
3. 了解 API 風(fēng)險(xiǎn)狀況
隨著許多企業(yè)不斷向數(shù)字化邁進(jìn),API 的激增使這些企業(yè)面臨著巨大而復(fù)雜的攻擊面。同時(shí),一些常見的安全威脅也在不斷演變,保護(hù)企業(yè)免受這些威脅的影響也非常重要。
如果不了解 API 風(fēng)險(xiǎn)狀況,就會(huì)導(dǎo)致某些威脅被忽視,常見的例子有如下幾個(gè):
- 誤向互聯(lián)網(wǎng)開放內(nèi)部 API
- 會(huì)員計(jì)劃個(gè)人身份信息 (PII)
- 在開放 API 上暴露信用卡號(hào)碼
API 漏洞是一種軟件錯(cuò)誤或系統(tǒng)配置錯(cuò)誤,可能導(dǎo)致攻擊者利用這種錯(cuò)誤來訪問敏感應(yīng)用程序功能或數(shù)據(jù),或者造成 API 濫用。
OWASP 十大 API 安全漏洞 清單十分實(shí)用,其中概括了一些被廣泛濫用的API 漏洞,企業(yè)應(yīng)該盡力識(shí)別和修復(fù)這些漏洞。
借助 API Security,您可以將錯(cuò)誤配置和漏洞立即通知安全團(tuán)隊(duì)、開發(fā)人員和 API 團(tuán)隊(duì),從而防止易受攻擊和錯(cuò)誤配置的 API 造成損害。您還可以輕松了解合作伙伴是否錯(cuò)誤設(shè)置了您的 API,或者代碼中是否存在漏洞。情境警報(bào)和條件警報(bào)在您現(xiàn)有的工作流中發(fā)揮作用,例如自動(dòng)創(chuàng)建 Jira 工作單,這樣您就可以快速解決任何問題。
4. 監(jiān)控 API 濫用
即使完美的 API 也可能被濫用。然而,與 Web 應(yīng)用程序不同,API 可以在許多不同的場(chǎng)景中以編程方式使用,這使得區(qū)分合法使用與攻擊和濫用十分困難。
API 受到攻擊和濫用有很多不同的方式,以下是其中一些常見的例子:
- 商業(yè)邏輯濫用。 這些可怕的場(chǎng)景時(shí)常讓首席信息安全官 (CISO) 徹夜難眠,因?yàn)閭鹘y(tǒng)的安全控制措施對(duì)此毫無(wú)用處。在邏輯濫用中,攻擊者會(huì)利用應(yīng)用程序設(shè)計(jì)或?qū)嵤┲械娜毕輥硪l(fā)意外行為和未經(jīng)批準(zhǔn)的行為,例如游戲串通、會(huì)員計(jì)劃濫用和其他有益于攻擊者的利用行為。
- 未經(jīng)授權(quán)的數(shù)據(jù)訪問。 API 濫用的另一種常見形式是攻擊者利用損壞的授權(quán)機(jī)制來訪問其無(wú)權(quán)訪問的數(shù)據(jù)。這些漏洞有很多名稱,例如失效的對(duì)象級(jí)授權(quán) (BOLA)、不安全的直接對(duì)象引用 (IDOR),以及失效的功能級(jí)授權(quán) (BFLA)。
- 帳戶接管。 在憑據(jù)被盜乃至跨站點(diǎn)腳本攻擊之后,帳戶可能會(huì)被接管。一旦發(fā)生這種情況,即使是編寫得最好、安全性最高的 API 也可能被濫用。畢竟,如果不執(zhí)行行為分析,任何經(jīng)過身份驗(yàn)證的活動(dòng)都被認(rèn)為是合法的。
- 數(shù)據(jù)抓取。 如果企業(yè)通過公共 API 提供數(shù)據(jù)集,攻擊者就可能積極查詢這些資源,以便批量捕獲大體量、有價(jià)值的數(shù)據(jù)集。
- 商業(yè)拒絕服務(wù) (DoS) 攻擊。 API 攻擊者或用戶如果請(qǐng)求后端執(zhí)行繁重任務(wù),可能引發(fā)應(yīng)用程序?qū)拥?ldquo;服務(wù)侵蝕”或完全拒絕服務(wù)(GraphQL 中十分常見的一個(gè)漏洞,但任何資源密集型 API 端點(diǎn)實(shí)施都可能發(fā)生這種情況)。在有人故意攻擊或者合作伙伴過度使用而導(dǎo)致其他合作伙伴無(wú)法使用 API 時(shí),就可能發(fā)生這種情況。
- 漏洞利用。 底層基礎(chǔ)架構(gòu)中的技術(shù)漏洞可能會(huì)導(dǎo)致服務(wù)器受損。此類漏洞的例子很多,包括 Apache Struts 漏洞(CVE2017-9791、CVE-2018-11776 等)和 Log4j 漏洞(CVE-2021-44228 等)。
要想識(shí)別這些漏洞和其他 API 安全風(fēng)險(xiǎn)并減輕影響,需要采取足夠成熟的安全控制措施,才能應(yīng)對(duì)這種復(fù)雜且快速變化的威脅態(tài)勢(shì)。
API Security 解決方案提供的業(yè)務(wù)背景信息是只通過分析 IP 地址和 API 標(biāo)識(shí)等技術(shù)元素所無(wú)法獲得的。API Security 通過使用 AI/ML(即可靠的實(shí)時(shí)流量分析)來輸出業(yè)務(wù)背景信息,讓您能夠?qū)Πl(fā)出告警前后的活動(dòng)進(jìn)行深入分析,以確定根本原因。API Security 還允許按特定實(shí)體搜索 API,例如按用戶或合作伙伴甚至業(yè)務(wù)流程實(shí)體(發(fā)票、付款、訂單等)進(jìn)行搜索,從而可以發(fā)現(xiàn)原本無(wú)法檢測(cè)到的異常情況。
職業(yè)發(fā)展良機(jī)虛位以待
Akamai 始終致力于憑借求知欲和協(xié)作來尋找問題解決之道。我們以尊重所有人的方式開展業(yè)務(wù)。我們注重思維、經(jīng)驗(yàn)和才干的多元化。我們賦能每個(gè)人,讓他們可以積極貢獻(xiàn)并發(fā)揮最佳表現(xiàn)。帶著您的遠(yuǎn)大夢(mèng)想和非凡創(chuàng)意,加入我們的行列,我們已經(jīng)準(zhǔn)備好與您共同逐夢(mèng)。
包容性、多元化和參與度
ID&E 涵蓋了性別代表性、薪酬公平、種族和族裔多樣性、種族平等承諾、多元化與包容性學(xué)習(xí)、主動(dòng)付出、地方性工作、員工資源組以及 Akamai 的新冠疫情響應(yīng)措施。
Akamai 可持續(xù)發(fā)展
Akamai 致力于做出具有影響力的環(huán)保改革。了解我們?nèi)绾螌?duì)我們的工作、運(yùn)營(yíng)和生活場(chǎng)所進(jìn)行投資。
人權(quán)
Akamai 堅(jiān)信尊重人權(quán)不僅對(duì)釋放互聯(lián)網(wǎng)潛力至關(guān)重要,而且對(duì)我們賴以運(yùn)營(yíng)的社區(qū)來說,也形成了基本的價(jià)值觀。
【更新時(shí)間:2024.08.12】應(yīng)用性能監(jiān)控(Application Performance Management,APM)是一款應(yīng)用性能管理平臺(tái),基于實(shí)時(shí)多語(yǔ)言應(yīng)用探針全量采集技術(shù),為您提供分布式性能分析和故障自檢能力。APM 協(xié)助您在復(fù)雜的業(yè)務(wù)系統(tǒng)里快速定位性能問題,降低 MTTR(平均故障恢復(fù)時(shí)間),實(shí)時(shí)了解并追蹤應(yīng)用性能,提升用戶體驗(yàn)。
職業(yè)發(fā)展良機(jī)虛位以待
Akamai 始終致力于憑借求知欲和協(xié)作來尋找問題解決之道。我們以尊重所有人的方式開展業(yè)務(wù)。我們注重思維、經(jīng)驗(yàn)和才干的多元化。我們賦能每個(gè)人,讓他們可以積極貢獻(xiàn)并發(fā)揮最佳表現(xiàn)。帶著您的遠(yuǎn)大夢(mèng)想和非凡創(chuàng)意,加入我們的行列,我們已經(jīng)準(zhǔn)備好與您共同逐夢(mèng)。
包容性、多元化和參與度
ID&E 涵蓋了性別代表性、薪酬公平、種族和族裔多樣性、種族平等承諾、多元化與包容性學(xué)習(xí)、主動(dòng)付出、地方性工作、員工資源組以及 Akamai 的新冠疫情響應(yīng)措施。
Akamai 可持續(xù)發(fā)展
Akamai 致力于做出具有影響力的環(huán)保改革。了解我們?nèi)绾螌?duì)我們的工作、運(yùn)營(yíng)和生活場(chǎng)所進(jìn)行投資。
人權(quán)
Akamai 堅(jiān)信尊重人權(quán)不僅對(duì)釋放互聯(lián)網(wǎng)潛力至關(guān)重要,而且對(duì)我們賴以運(yùn)營(yíng)的社區(qū)來說,也形成了基本的價(jià)值觀。
【更新時(shí)間:2024.08.12】應(yīng)用性能監(jiān)控(Application Performance Management,APM)是一款應(yīng)用性能管理平臺(tái),基于實(shí)時(shí)多語(yǔ)言應(yīng)用探針全量采集技術(shù),為您提供分布式性能分析和故障自檢能力。APM 協(xié)助您在復(fù)雜的業(yè)務(wù)系統(tǒng)里快速定位性能問題,降低 MTTR(平均故障恢復(fù)時(shí)間),實(shí)時(shí)了解并追蹤應(yīng)用性能,提升用戶體驗(yàn)。
