6月20日，安天API雷达专场发布会在线直播。与传统的API防护产品相比，API雷达以在线下载、实例部署、即插即用的方式提供，在简化用户配置的同时，为用户提供持续的监测和防护能力，覆盖用户API的整个生命周期，确保API资产的安全性和可靠性。9月30日之前，用户可扫码免费试用。

扫码获取API雷达

随着数字化程度的不断加深，大量关键和敏感信息通过API在不同组织、系统、服务带之间传递，这使得API开始成为黑客和恶意分子的攻击目标。数据泄露、未经授权的访问、恶意注入以及其他与API相关的威胁不断涌现，对用户的数据和系统构成了严重威胁。

安天API雷达产品负责人在直播分享时提到几个关键点：

一、API雷达提供全面的Web安全防护功能，完整覆盖OWASP Web和API Top 10安全风险清单的防护需求。

从OWASP在2019年和2023年发布的API安全TOP10风险清单中可以看出，较为严重的API风险主要集中在API认证、授权、滥用和敏感数据泄漏等核心问题。针对目前API面临的风险问题，API雷达提出了具体的解决方案：

• 全面资产梳理：API雷达首先梳理出用户的API站点和资产，提供准确、详细的API资产清单，为后续的API安全治理提供依据。

• 安全性检测：在初期API学习阶段，API雷达综合分析每个API的业务数据，监控API使用细节，根据OWASP API安全风险清单和API安全性合规要求对每个API进行风险评估。对不符合安全要求的API，按风险级别列出其存在的API风险，并提供具体的风险描述和应对方案，帮助用户快速整改。

• 持续监控和学习：API雷达采用持续学习设计，动态更新API模型和画像，对发生变更的API及时应用新的安全策略，及时发现僵尸API和影子API，有效应对API的发展变化。

此外，API雷达可提供全面的Web安全防护功能，能够完整覆盖OWASP Web和API Top 10安全风险清单的防护需求。

API雷达业务安全防护解决方案

二、我们主张改变通过硬件盒子实现高溢价、盒子等同产品价值的旧有思维，API雷达无需盒子，更加注重用户的实际效能和价值。

硬件盒子在云环境中部署与用户的云基础设施形成鲜明对比，导致用户需为网络安全设备额外提供物理空间和连接线路，增加了运维负担。相比之下，API雷达实例化部署，为用户在现有计算资源中直接导入安全实例，简化了部署流程，并与业务系统实现统一运维。

三、改变复杂配置，部署即用。

API雷达是一款集资产梳理、风险识别、WAF、BotGate和业务威胁分析于一体的全方位All-in-One综合性API安全产品，支持即插即用的部署方式，用户只需将业务流量镜像到API雷达的业务网口，即可轻松完成部署，并且，可自动分析监听到的流量，识别应用协议，梳理出Web站点和对应的API资产。

API雷达通过可视化界面展示API学习结果，使用户对API资产和风险一目了然。API雷达实时监控API业务状态和威胁趋势，提供用户、来源IP、威胁和业务等多维度的API威胁展示，方便用户进行调查和回溯。

API雷达的点击流汇聚技术能够从海量流量中还原用户的业务点击，帮助管理员聚焦真正的用户操作，进一步提升API数据和威胁分析方面的效率，降低产品的使用门槛。

核心创新能力

1. 保障政企机构“敏感数据”安全

API雷达通过监测API的访问行为监测、检查API数据内容，识别用户业务系统中敏感数据泄露服务，发现数据窃取行为，保障政企机构的数据安全。

2. 监控API生命周期排查“僵尸API”风险

API雷达追踪API的整个生命周期，监测API接口变化。通过持续学习、访问行为变化，帮助用户形成资产清单，时刻了解API服务版本更新，识别废弃API，收敛资产暴露面，排除安全隐患。

3. 完善各业务系统API接口规范

API雷达能根据API流量自动重建OpenAPI规范，为用户提供全面且易于理解的API描述。通过使用API雷达生成的规范，用户可以清晰地识别出每个API所需的访问参数和应答内容字段，不仅提高了API使用的透明度，而且从运维的角度出发，确保API的安全调用。

4. 识别API越权及异常访问风险

API雷达通过用户追踪，实时监测用户权限状态变化，防止越权行为发生。通过异常访问模型，识别盗号、信息窃取和业务漏洞利用等多种异常访问行为，帮助用户及时修复业务存在的风险漏洞。

5. 威胁事件追踪回溯

通过先进的API识别技术，API雷达能够精确捕捉用户与API的交互操作，综合考虑API安全上下文信息，包括当前用户、威胁评分和API业务类别，详细记录API的访问情况。从来源、用户、API威胁等多个维度多维度建档，帮助用户便捷地进行API安全事件的纵深调查和分析。

可长按或扫描二维码回看直播视频