梆梆安全接受新華網專訪
梆梆安全基于“端到端的全渠道風險防護”技術理念,推出“動靜結合、橫向端到端聯動+實時防御、縱向全渠道聯動”的 API 安全解決方案,利用動靜結合的防御思想,實現端到端的風險聯動防御,通過多渠道的情報共享,實現多渠道的協同防御,全面打造“安全合規、架構穩定、產品易用”的終端安全環境,幫助行業客戶實現更加安全可控的數字化轉型。
近日,源起基金已投企業——梆梆安全相關負責人出席“2023(第二十二屆)中國互聯網大會”,API 安全產品專家仇樂在大會期間接受新華網專訪。
01
新華網:梆梆安全這么多年來一直深耕移動安全領域,請問是什么原因驅動梆梆安全向API安全領域拓展的?
梆梆安全仇樂:梆梆安全從2010年成立至今一直深耕在移動安全賽道。近年來,各個企業在數字化轉型中衍生出大量的數字化應用,傳統的APP也出現以小程序和H5應用為代表的新型輕應用,盡管渠道應用的形態各不相同,但是它們都需要根據API接口進行業務交互,因此產生了大量的API接口。針對API接口的新型攻擊方式需要新型產品來防御。因此我們選擇跳出舒適圈,向新型安全方向拓展。
02
新華網:請問對于API安全,您是怎么理解的?
梆梆安全仇樂:API安全大部分風險點都是因為業務邏輯漏洞造成的。有關數據顯示,梆梆安全目前的重要業務有83%都承載在API安全上面。API安全涉及的面很廣,它橫跨了數據安全、應用安全和業務安全領域。
03
新華網:市面上有一些聲音認為WAF產品以及相關API業務網關的就能做API安全,請問您對此怎么看待的?
梆梆安全仇樂:認為帶有API業務網關的WAF產品就可以做API安全,這其實是一種誤區。WAF是web應用防火墻,主要是應對web應用的XSS攻擊、SQL注入等等的風險防護,像OWASP組織提出的API安全風險TOP10中涉及到的API邏輯漏洞它就做不了。再者,WAF產品采用的是單次包過濾的形式,在關聯分析上有所欠缺。對于新型的攻擊,大量的數據批量訪問或低頻請求,WAF都無法檢測到。
API業務網關是處于管理型場景,它需要將API資產錄入到API業務網關之后才能進行權限、禁權的處理,但同時也會衍生出僵尸API和影子API。如果API接口收到的請求是攻擊者通過攻擊偽造的或者是經過篡改的參數,那么API業務網關也做不到安全防護。所以API安全領域還需要一些創新性的產品。
梆梆安全的API安全將會整合前端應用側與后端業務流量的風險,形成端到端的一整套全渠道的風險防護措施。
結語:未來,源起基金將與梆梆安全攜手,圍繞多模態生物特征識別技術的應用風險、安全合規、發展趨勢等開展主題分享和交流,為進一步推動相關技術在各領域場景的深度應用,探索建立完善的標準體系和技術要求提供啟發和決策參考。
免責聲明:本公眾號發布內容部分信息來源網絡,本平臺不對文章信息或資料真實性、有效性、準確性及完整性承擔責任。文章僅供閱讀參考,不作任何投資建議,如有侵權請聯系刪除。
