长亭雷池通过OWASP认证，持续加码API安全

近日，长亭科技SafeLine产品通过互联网安全研究中心测试，获得WEB应用防火墙OWASP认证！ OWASP推出的“OWASP Web应用防火墙认证”是目前全球最全面的Web应用防火墙认证。涵盖了WAF产品的检测能力、防御能力、性能、自身安全、用户习惯等各个方面的全面测试，被视为WEB应用安全领域的权威参考。

从雷驰在评测中的表现来看，由于采用了全球最前沿的人工智能语义分析技术，威胁的拦截和识别不再依赖规则维护。整体策略比传统WAF产品更加灵活。在拦截策略灵活性方面的得分优于很多传统WAF。各项测试稳定性和可靠性指标均达到100%。同时，SafeLine在运行速度测试中的表现也遥遥领先。其中，99%的请求可以在1ms内完成，90%的请求只需要0.1ms。这也意味着该产品对企业的正常经营没有影响。对于之前因部署WAF而导致用户体验不佳的企业来说，这个消息无异于天方夜谭。

如今，API 已成为应用程序驱动世界中创新的基本要素。从银行、零售和运输到物联网、自动驾驶汽车和智能城市，API 是移动、SaaS 和Web 应用程序的重要组成部分。随着企业业务不断发展，攻防对抗不断变化，API越来越成为攻击者的目标。如果没有安全的API，企业就不可能进行快速创新。为此，OWASP组织针对潜在的API安全风险发布了最新的2023年OWASP API Security TOP10，帮助企业梳理API安全问题。

基于对客户需求的敏锐洞察和对API安全的早期投入，雷驰在原有WAF能力的基础上增加了API安全的原子能力，推出了雷驰WAF+产品形态。在Web安全能力方面，兼容2023 OWASP API Security Top 10的安全防护，并在此基础上帮助企业解决API资产和传输数据全面可见、API访问是否在预期范围内、业务API是否存在漏洞安全风险等三大核心问题，帮助企业从容应对API带来的安全挑战。

雷驰WAF+产品不仅仅是API功能的简单堆叠，而是利用云原生和微服务架构的特点，根据客户业务防护需求，灵活调整各种原子能力来增加API安全性，实现“千人千面”的安全防护，最终形成“1+12”的安全防护效果。例如：雷池WAF+“工作负载证明原子能力”可以丰富雷池的安全处理方式，有效反击传统的低风险和中风险请求源，增加其攻击成本。有效解决传统WAF对不构成对企业业务早期嗅探的阻断的低风险和中风险攻击缺乏对策的痛点。例如：雷驰WAF+“资产可视化原子能力”可以将雷驰WAF的控制粒度从站点层面下钻到API层面，可以屏蔽特定的API请求，而不影响同一业务下其他API请求的访问。可以解决企业专用API只允许特定用户组访问的业务安全需求。同时，雷驰WAF+可以在任何地点、任何云中根据业务安全需求快速灵活地扩展多种原子能力。通过雷驰WAF与API安全原子能力的有效结合，衍生出WAF风险管控链，帮助客户打造Web应用全链路安全体系，能够有效应对不断变化的Web应用安全风险和业务安全需求。

此次OWASP认证再次证明了SafeLine的稳定性、安全性和可信度，足以为客户提供包括API安全在内的更高级别的威胁防护。未来，长汀雷驰将继续深耕Web安全领域，坚持技术创新，用优质的产品和服务，全面保护企业Web数据、客户、业务。

附属参考文献——OWASP全球影响力：

1. OWASP被视为Web应用安全领域的权威参考书。 2009 年以下发布的美国国家和国际立法、标准、指南、委员会和行业行为准则参考OWASP。美国联邦贸易委员会(FTC) 强烈建议所有公司遵循OWASP 十大WEB 漏洞防护代码。

2、国际信用卡数据安全技术PCI标准将其列为必要组成部分；

3、美国国防信息系统局（DISA）应用安全和开发清单参考；

4、欧洲网络与信息安全局（ENISA）云计算风险评估参考；

5. 美国联邦首席信息官(CIO) 委员会、联邦部门和机构使用社交媒体的安全指南；

6、为美国国家安全局/中央安全局可管理网络规划提供参考；

7. 为UK GovCERTUK提供SQL注入参考；

8.为欧洲网络与信息安全局（ENISA）云计算风险评估提供参考。