产品概述
Metlo是一个开源平台,旨在通过自动发现所有API端点、扫描敏感数据以及实时检测漏洞和攻击来保护API安全。该平台使组织能够清点其API全景,为端点分配风险评分,并在部署前主动测试安全问题。Metlo提供灵活的部署选项,包括托管云服务、自托管解决方案和完全开源版本,适用于各种规模的企业。其无代理设置允许无需代码更改即可快速集成,并提供端到端加密以保护捕获的数据。
主要功能
| 全面的端点发现 | 自动扫描网络流量以清点所有API端点,包括遗留、未记录和影子端点。 |
| 敏感数据扫描和风险评分 | 识别处理个人身份信息(PII)的端点,分配风险评分,并突出显示高风险区域。 |
| 实时攻击检测和拦截 | 监控API流量中的恶意行为,检测SQL注入和XSS等攻击,并实时拦截恶意用户。 |
| 可定制的安全测试 | 允许用户在平台内直接构建和运行自动化安全测试,包括针对OWASP十大漏洞的测试。 |
| CI/CD流程集成 | 与CI/CD工作流集成,在开发和测试阶段识别并修复安全问题。 |
| 端到端数据加密 | 使用公钥-私钥加密对捕获的所有API流量进行加密,确保敏感信息受到保护。 |
使用场景
- API清单管理:获取所有API端点的可见性,包括未记录或遗留的API,以维持全面的安全态势。
- 敏感数据保护:识别并监控处理个人身份信息或金融数据的端点,优先考虑安全措施和合规性。
- 主动漏洞测试:运行自动化和自定义安全测试,在API暴露到生产环境之前检测并修复漏洞。
- 实时威胁检测:监控API流量以检测和阻止恶意请求,降低成功攻击的风险。
- 监管合规支持:通过提供详细的审计跟踪和API端点风险评估,帮助满足合规要求。