它们逃跑了~

逃逸的API（应用程序）是指利用API的漏洞，逃出原有的API服务，这时候API审计已经捕获不到这种行为，更没有办法进行审计。比如利用API的接口漏洞上传了webshell，再比如利用API漏洞创建了反弹shell……

需求催生 API审计系统

通常，成熟和具有探究精神的用户面对自己的业务环境，都会有如下疑问：

• 我的网络里到底跑了多少应用？

• 哪些应用会访问我的敏感数据？

• 每个应用里跑了多少API接口？

• 哪些API接口会访问敏感数据？

• 访问接口一次最多访问多少条？

• 有没有人在尝试攻击我的网络？

• 能否找到谁在看我的敏感数据？

这些问题都可以通过一款叫做web应用审计的产品来找到答案。实际上，web应用审计并非新鲜产物，据悉，很多安全企业都面向市场推出了自己的web应用审计产品，但这些产品市场表现如何，不依靠官网详尽的产品介绍、也非精美的彩页包装，更不是高大上的产品演示，用户应用实践是检验产品专业度、成熟性和领先性的唯一标准。

为什么是 云集数据应用审计系统

有这么一款产品，正忙着在用户的业务环境运行，帮助用户解决各类需求，经过一段时间的稳定运行，我们决定将之推向市场，服务更多有同样需求的客户。

近日，经过与多家安全厂商pk（其中不乏安全头部厂商），云集数据应用审计系统（web应用审计）（以下简称“系统”）凭借产品易用性以及与业务最为紧密的贴合程度，最终脱颖而出，成功应用于某知名保险客户业务环境。今天，我们就通过真实的用户应用实践来了解一款web应用审计产品究竟具备哪些突出优势？

1、效率：从耗时3-4天到仅需2小时

用户从前对一个业务系统的API接口梳理，通常需要耗费3-4天时间，云集数据应用审计系统投入应用之后，梳理一个业务的API接口只需要2小时左右，大大提升了用户的工作效率。业务梳理清楚以后就需要对业务中运行的API接口进行梳理，云集数据应用审计系统提供API接口的自动发现功能，让所有被调用的API接口都能被记录到。系统根据协议解析自动发现网络中运行的所有业务，让“僵尸”业务和未备案业务无所遁形。由于每个人/用户调用API接口时，API接口中的参数都是不一样的，就会导致接口归一化、统计分类等的困难，系统提供简易的归一化功能，对相同类型API接口进行归一化处理，为后续API接口的分类统计提供基础。

2、管理：实现数以百计接口的自动标记

用户每个业务系统的API接口少则几十个，多则上百个，这么多接口对管理提出了更高要求。云集数据应用审计系统立足于《个人信息保护法》等安全法律，自动标记出携带个人敏感信息的API接口，并详细标记出接口携带的敏感信息类型、敏感信息总数等。用户只需要关注携带敏感信息的接口，其他API接口无需花费多余精力，真正把用户最关心的内容呈现给用户。

3、模型：为用户多维展现个人敏感信息访问

用户运维侧存在节约管理成本、提升敏感信息管理效率的需求。云集数据应用审计系统立足个人敏感信息分类，内置基于个人敏感信息的多维度风险模型，从用户维度、时间维度、API维度等展现个人敏感信息被访问情况。比如针对新增涉敏的API接口，用户大量的下载、上传行为，未授权访问敏感信息的行为等等加以呈现。让用户一目了然哪个用户，在什么时间，调用了哪个API，涉及到哪些敏感信息分类，敏感信息的访问量等。

4、外发：通过数据集成能力让数据流动起来

用户的业务系统呈现多样化，日常生产运营过程中，存在大量跨系统的数据对接和日志对接需求。云集数据应用审计系统具备数据外发能力，秉承开放、合作的原则，提供了与其他系统的数据集成能力，方便系统与企业内平台系统做数据对接，也可以和用户的相关系统做日志对接，让数据流动起来，实现数据联动和关联分析。

5、查阅：附件上传下载，文件灵活可查可溯

用户希望可以保持一些文件的查阅弹性，云集数据应用审计系统可对上传和下载的附件进行还原，并下载查看文件的详细内容。

云集数据应用审计系统 价值体现

云集至针对用户的真实业务需求，自主研发了云集数据应用审计系统（web应用审计），针对基于http/https协议的应用系统进行审计。通过对web应用系统的流量进行旁路（镜像）采集和分析，记录对应用系统的操作，可对web应用系统中的操作全审计，监视重点账号操作，监视重要业务模块的访问。该产品着重对应用系统操作合规性进行分析，发现异常操作和越权行为，同时标记出哪些API会访问敏感数据、风险的API，从而做到API风险的提前预防和管控；同时，产品可对业务系统安全性进行分析，可以检测常见的web攻击行为和业务风险。

云集数据应用审计系统运用创新的互联网思维，基于用户收益和价值来进行设计：发现未知——锚定重点——风险感知——数据溯源。这一产品工作链条可以解决用户真正关心和关注的问题。究竟，云集数据应用审计系统如何发挥作用？

1、发现未知·解决认知问题

产品的第一个价值体现——发现未知。云集数据应用审计系统采用全流量的解析模型，能抓住用户定义的应用服务，且根据自身的协议解析能力，抓住“逃逸”的API，不仅审的全，还能发现“未知”的API接口，帮助用户解决自身业务环境认知问题，比如当前有多少应用服务在跑，新增了多少，可疑的行为有哪些。

图1：发现新的API接口

2、锚定重点·解决排序问题

产品的第二个价值体现——锚定重点。通过该功能用户可以标记出重点关注的API。当全量的数据进来以后，庞大的日志让日志分析变得无从下手。云集数据应用审计系统内置敏感数据规则，一旦发现API接口，便可自动识别该API是否携带敏感数据。系统自动对发现的API接口做归一化处理，方便用户查看，并且用户可以自行对API接口进行标注，定义接口说明。

图2：新的API接口归一化

日志量太大，到底该关注哪些日志，让人无从下手？别慌！价值排序是关键，让云集数据应用审计系统来帮助用户判断哪些值得看，哪些不值得浪费时间。当然，这是一个不断循环的过程，系统会自动识别发现API接口，用户根据需要对新的API接口进行标记。几轮下来，可完成对系统API接口的标记。

图3：接口标注

3、风险感知·解决安全问题

产品的第三个价值体现——风险感知。针对用户关于安全风险的种种疑虑，比如每天多少敏感数据被访问？未鉴权的API接口有哪些？未鉴权的API接口访问了多少敏感数据？有没有人大量下载敏感数据？每天新增的涉密接口有哪些？哪些用户在尝试攻击系统？有没有逃逸的API？逃逸后的API有没有涉敏？网络流量如何？等等诸多用户疑虑。云集API安全审计系统内置丰富的安全风险策略，可以针对以上诸多风险点进行实时感知，帮助用户通过对风险情况的掌握，及时应对和处置，消除安全疑虑。

图4：丰富的风险规则

4、数据溯源·解决追溯问题

产品的第四个价值体现——数据溯源，解决都有哪些人在访问涉敏API接口的问题。云集数据应用审计系统内置丰富的用户识别能力，可根据API交互过程中的用户指纹精确定位到具体是谁在调用这些涉敏API。

图5：行为自定义

云集数据应用审计系统内置标准化的溯源模块，输入用户名或者手机登录即可追溯用户的整个操作链条，既可以做到查看全部数据，也可以选择只看涉密接口的数据。

图6：用户溯源

云集数据应用审计系统着眼于用户的安全痛点和业务需求，探索黑客攻击的真实场景，通过用户真实环境与云集至专业数据安全能力的碰撞，形成实用价值更高的API审计产品。目前，该系统已经在国内金融行业高端客户环境中稳定运行。

一款真正诞生于用户需求的安全产品

云集数据应用审计系统，即将面向全行业发布

更多产品功能与特性、产品优势与价值

敬请期待！！！