当前位置：首页 > news >正文

阿里云API安全2.0全新发布

阿里云安全发布API防护产品已将近三年，为客户提供API资产全生命周期监控管理，发现和管理业务中存在的全量API接口资产，并提升API接口在数据流转过程中的安全性，现已全面覆盖OWASP提出的API TOP 10安全风险。

近期，阿里云API安全发布了全新2.0版本，对产品架构进行了全面升级改造，在检测时效性、丰富度、准确率以及使用体验等方面均有大幅提升。

近实时的检测能力提供自动化识别API接口资产、分析API敏感数据、业务用途、服务对象、生命周期状态、流量成分等能力，通过多维度构建API基线画像，可实现API分类分级管理。并支持将相关资产、告警信息推送到日志服务，方便与用户内部运维系统联动集成，提升运维效率；

接口脆弱性发现能力增强当前支持六大类（覆盖接口设计、接口开发规范、权限管理、账号安全、敏感数据保护、访问控制）总共38种接口的风险检测能力，对API常见风险，例如未授权接口敏感数据泄漏、内部应用弱口令等均可实现检测；

强化攻击检测能力支持五大类（覆盖API滥用、基线异常、账号风险、响应异常、敏感数据泄露）总共25种API异常行为检测，例如针对接口数据爬取场景，攻击者可以通过遍历ID值来获取个人敏感信息，造成数据泄漏风险，阿里云API安全可基于已建立的基线，持续监控并及时预警异常行为；

灵活的自定义检测进一步开放了自定义策略能力，支持客户根据各自的业务特性和安全需求自定义接口识别、风险/攻击、敏感数据、生命周期、业务用途等检测策略。例如在自定义攻击检测方面，新版本支持对各请求参数、敏感数据去重统计，可更精确的发现接口滥用如数据遍历、撞库、爆破等攻击行为。

学习网络的第一步：全面解析OSI与TCP/IP模型