网络安全、数据安全与业务安全的交汇点,中国API安全市场洞察报告发布

IDC将API安全定义为专门为保护API通信免受误用、滥用和漏洞利用而设计的解决方案，其所提供的功能包括API资产发现、验证和执行，动态和自适应的流量监测和模式分析、检测和阻止威胁，例如恶意软件、漏洞利用、代码注入、机器人流量、DDoS攻击、欺诈和滥用等。目前API安全多以API安全网关、API安全管理平台等产品形式进行交付。

IDC认为，API的安全防护市场在中国还处于初步发展阶段，产品和技术能力还需进一步加强。目前，国内众多网络安全厂商、数据安全厂商、云计算服务商、专业的API安全厂商纷纷布局API安全市场，且各个厂商结合自己的技术积累和行业优势推出了各具特色的产品和解决方案。

IDC结合当前中国API安全市场发展现状及未来趋势，为技术买家提供以下几点建议：

● DevSecOps帮助企业将安全融入到DevOps整体交付流程，从开始阶段就将安全列为优先事项。完整的API安全防护解决方案应从API开发和部署开始，运用SAST、DAST等手段在开发环节检验安全漏洞和错误配置的问题，帮助用户从根源上降低API安全风险。

● API资产的发现与管理是做好API安全的基础，但仅靠安全团队人工梳理很难全面获取企业所有API资产信息及其应用状态。一方面需要相关业务部门的协同支持；另一方面，需要通过自动或半自动化的工具全面检测和识别企业网络中的各类API资产，并根据企业自有规则进行精细化分类管理。

● API安全不仅需要关注API自身的暴露面和漏洞信息、API的访问权限精细化管理、日志监控缺失等问题，还需要监测通过API流转的数据是否存在违规调用、敏感数据泄露、数据篡改等数据安全问题，企业应结合自身业务需求，合理规划防护重点并选择匹配的技术提供商。

● 对于业务部门来说，为了防护API安全而显著影响业务系统的响应速度是不可接受的。因此，企业在进行厂商能力评估时需要重点关注产品的性能表现，尤其是面向对通信速度有较高要求的业务系统提供API安全防护时，更要做好速度、功能、稳定性和一致性等多方面的平衡。

分析师观点