2023年8月25日，由中国信息通信研究院（以下简称“中国信通院”）和中国通信标准化协会联合主办的“2023 SecGo云和软件安全大会”在北京成功召开，会上正式发布

　　白皮书由威胁猎人与中国信通院联合编制并发布，从API安全趋势挑战、API安全防护体系建设等维度深入分析，结合威胁猎人API安全领域的实践经验，为广大企业API安全建设提供新思路。

　　威胁猎人API安全业务总监黄巍受邀参加发布仪式，并在应用安全分论坛上对白皮书内容进行了重点解读。

　　黄巍提到，当前API接口的应用已经十分广泛，与之相关的业务风险也在不断加剧，API攻击手段更加多样化、隐蔽化、自动化，可以轻松突破企业对于API的限频、限量及认证鉴权等基础防护手段，传统的解决方案很难对API风险进行有效识别和防范。

　　对企业而言，想要做好安全管理，全生命周期的API管理很有必要。首先，API是企业的私有化资产，从设计和开发就是在企业内部完成，API问题的产生通常也是由企业自身产生。

　　其次，API在整个业务生命周期当中变化非常快，API实现逻辑一旦发生变化，很容易引入新的风险。

　　因此，企业尤其需要基于API全生命周期构建安全防护模型，将安全落实到API生命周期的每个环节，包括API规划、开发、测试、部署、运行到下线，进而构建具有更好可见性和可控性的API安全防护体系。

　　API全生命周期管理涉及企业各部门角色的参与，投入工作量极大，企业应该根据实际情况来调整投入产出比。

　　当下，不少企业感受到了API的风险威胁，却很难及时、高效降低或避免API风险，在安全团队内部实现高效闭环。

　　从高效运营、闭环管理的需求出发，企业可以从API的上线运行阶段入手，基于IPDRR安全模型实现API安全闭环管理，以识别、防护、检测、响应、修复五大模块的高效协同，结合企业自身的业务情况有序开展API安全实践。

　　基于IPDRR模型，企业可持续识别API资产潜在威胁和漏洞、提供安全保护措施、实施实时监测和事件检测、迅速响应安全事件、实施恢复策略和业务持续性计划等等手机全球ip代理，全面保护API的安全性和可靠性，最大化降低甚至避免API风险。

　　黄巍重点提到，为了突破现有防护系统的检出规则，避开传统安全设备防护，攻击者在攻击过程中通常会使用“代理IP、虚假手机卡、虚假邮箱”等各类资源，针对API发起低频无特征攻击，这时原有的WAF、API网关等风险判定模型就会失效。

　　威胁猎人API安全管控平台基于“情报能力”（如上文提到的，攻击者利用的IP、手机卡等各类资源的风险情报）构建API安全行为基线，可不受业务波动影响，能更有效地感知外部API风险，误判率低，这也是产品主打优势之一。

　　想了解白皮书更多内容，可扫码或点击【阅读原文】下载《API安全发展白皮书》PDF完整版 ↓↓

　　由白皮书核心观点可见，当API风险暴露面日益扩大、API攻击者更加激进，“API安全”开始成为企业重点关注的安全建设方向。

　　目前，API风险态势仍在持续加剧。组织必须转向构建更创新、更具实践性的安全策略，结合企业实际情况解决其安全问题，并提供更全面的防护。

　　作为中国API安全领域的领先者，威胁猎人基于自身在安全领域多年的技术积累和海量攻防实战经验，推出国内首个以“情报”能力为基础的API安全管控平台。

　　2023年，威胁猎人凭借情报驱动的创新方案及技术，两次入选Gartner报告“API威胁防护领域”代表厂商，也是国内唯一入选的API安全品牌。

　　未来，威胁猎人将携手权威机构及更多行业伙伴，围绕行业需求，以优秀的API产品及技术实践，帮助企业构建更有效、更具实践性的API安全防护策略，赋能各行各业的数字化。

　　特别声明：以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布，本平台仅提供信息存储服务。

　　房内吸烟提示中文版要求支付3000元清洁费，英文版则为1000元，武汉一五星级酒店禁烟提示引争议，酒店方回应

　　威胁猎人（Threat Hunter）成立于2017年，专注于威胁情报和API安全解决方案的输出。

　　OriginOS 5内测招募开启：支持vivo X100、Fold 3、iQOO 12系列等