API 是一些功能、定义或者协议的集合，如今API接口的运用已经十分广泛，它既可以连接服务，也可以传输数据，尤其作为企业业务承载的载体，对其进行安全防御对保障客户的业务安全十分关键。

 

API 安全在整体安全体系中由于其自身的独特性，无法通过现有的安全机制和手段完全解决，必须要有专有的 API 安全产品和服务来帮助客户解决 API 运行阶段的安全问题。爱加密API安全网能够帮助客户解决API资产不清、API风险防御能力不足、API风险处置不及时等问题，帮助企业规避数字化转型过程中由API带来的业务安全风险及数据安全风险。

 

核心功能

 

应用场景

 

1、API资产探测与管理

随着数字化转型的深入，众多组织的外部API数量急速增加，且版本更新快、业务变更频繁，基于人工的API资产梳理难以应对如此快速的变化，导致大量API资产得不到有效管理，安全风险高。

应对策略：

1)自动化API的发现；

2)API的标签化及分类管理；

3)“僵尸”API的发现。

 

2、防数据泄露

对外API接口承载了企业的核心业务，是敏感数据的一个重要出口，然而针对API接口的撞库、脱库、越权等行为严重威胁着企业的数据安全，如何保障API安全、保障数据资产的安全，成为企业关注的重点。

应对策略：

1)敏感数据资产API接口自动化发现；

2)机器自动化扫描攻击发现与阻断；

3)撞库、脱库等攻击行为发现与阻断；

4)越权等攻击行为的发现与阻断。

 

3、防虚假注册/虚假营销

用户拉新、业务推广等是企业营销的必要手段，然而，在推广过程中由于各种作弊机制的存在，不仅会导致虚假营销、恶意拉新等不良行为，而且由于企业账号是灰色产业链的重要资源，还会被灰产团伙非法进行批量注册和利用。

应对策略：

1)虚假注册行为的发现与阻断；

2)虚假注册行为的深度溯源；

3)虚假注册团伙的自动化关联分析；

4)阻断行为能够支持灰度验证码验证及对接业务系统。

 

4、防薅羊毛场景

地下灰色产业链目前发展越来越完善，分工也越来越明确，绝大部分的营销费用最终都落入了灰产的口袋，而最终没有达成组织的业务营销发展目标。

1) 羊毛党的自动化发现和预防； 

2) 支持多平台（Android、iOS、Windows）、多渠道（APP、SDK、H5、小程序、公众号、Web）； 

3) 支持与业务系统进行对接，由业务系统进行差异化防御。

 

5、防刷票场景

航空、客运、铁路、演出等票务网站长期被第三方平台和黄牛党刷票，不断刷价格，造成了服务器资源的浪费，同时使得普通消费者的使用体验降低，甚至可能造成正常客户无法访问。尤其对航空业来讲，刷票造成其查定比升高，造成企业的直接经济损失。

1) 脚本刷票防御；

2) 模拟器、多开器等虚假设备刷票防御；

3) 刷票团伙自动化分析； 

4) 能够返回缓存票务数据/虚假数据迷惑刷票团伙 ；

5) 支持对允许的第三方组织开通白名单。

 

6、防占库存场景

国内各大票务、电商平台的一些商品具有一定的时效性，然而一些攻击者利用付款时间窗口，抢占了订单但是迟迟不付费，导致正常客户无法抢购，等待付款时间窗口结束后又再一次抢占订单，给商家带来了巨大的经济损失。

1) 恶意订单识别发现； 

2) 攻击团伙关联分析；

3) 支持自行阻断，也可与业务系统进行对接防御。

 

优势价值

 

1、保护客户的业务及数据安全

利用前端风险检测与后端的大数据流量分析技术，识别敏感数据泄露的攻击行为，并进行封禁阻断，有效对抗黑灰产攻击，减少损失。

2、降低API管理成本

支持自动并持续地发现所有内部、外部和第三方API，大幅减少人工统计及参与成本，帮助掌握全局API资产，降低用户方管理成本。

3、提升企业合规能力

通过自动化识别API接口中的各种敏感数据，为管理者生成敏感数据API接口的资产地图。让管理者及时了解敏感数据风险态势，并对敏感的数据进行及时规避，同时提高验证机制，确保满足监管单位的合规要求。

4、提升程序安全性

通过前端环境风险检测、异常行为规则引擎、异常行为风险模型等方式，结合前端风险检测与后端流量分析能力，快速对API安全风险进行识别，提升程序整体的安全性。