企業(yè)的上云和數(shù)字化轉(zhuǎn)型，將越來越多的業(yè)務(wù)運行于網(wǎng)絡(luò)之上。為適應(yīng)敏捷開發(fā)等新型應(yīng)用架構(gòu)，API的使用數(shù)量更加普遍并持續(xù)增長。企業(yè)的應(yīng)用開發(fā)越來越依賴API之間的相互調(diào)用，同時通過API傳遞的數(shù)據(jù)量也隨之迅速增長。

不可避免地，暴露于網(wǎng)絡(luò)中的企業(yè)應(yīng)用API亦成為惡意攻擊者的目標(biāo)。近年來，與API攻擊相關(guān)的數(shù)據(jù)泄露事件屢見不鮮，其中不乏企業(yè)重要業(yè)務(wù)數(shù)據(jù)甚至個人身份數(shù)據(jù)等敏感信息，給企業(yè)帶來極大的數(shù)據(jù)安全威脅。

API安全不容樂觀

雖然我們已經(jīng)發(fā)現(xiàn)并且感知到API安全風(fēng)險，但又不得不面對的是，事實已證明傳統(tǒng)的安全技術(shù)并不能有效地阻止API攻擊，企業(yè)需要在全新的安全防護方法。

據(jù)Gartner的一份預(yù)測報告，2022年起API已成為網(wǎng)絡(luò)攻擊者利用最頻繁的媒介載體之一，而通過攻擊API可以非授權(quán)使用企業(yè)的各類應(yīng)用數(shù)據(jù)，并且由API安全問題引起的數(shù)據(jù)泄露風(fēng)險在2024年將翻倍。

頻出的API攻擊事件不斷向我們證明， API治理不當(dāng)導(dǎo)致的攻擊、欺詐以及數(shù)據(jù)泄露風(fēng)險正在對企業(yè)的構(gòu)成新的安全挑戰(zhàn)。同時，在AI技術(shù)的發(fā)展，被濫用的AI讓攻擊手段越來越自動化甚至智能化， API攻擊更快、更準(zhǔn)確，API面臨的威脅越來越復(fù)雜化。

Akamai最新發(fā)布的《潛伏在陰影之中：攻擊趨勢揭示了 API 威脅》報告證實，API在Web攻擊里面所占的比例越來越高，2023年在所有的Web攻擊類型里面針對API的攻擊占了將近30%。

Akamai北亞區(qū)技術(shù)總監(jiān) 劉燁

Akamai北亞區(qū)技術(shù)總監(jiān)劉燁表示，這個比例可能還會繼續(xù)增高，因為越來越多的流量也會變成這種API的流量，比如很多原生的手機應(yīng)用跟數(shù)據(jù)中心之間都會通過API做數(shù)據(jù)傳輸。

針對于API的攻擊方法和攻擊向量非常多樣化，這對于企業(yè)來說要保護應(yīng)用API的難度大大增加，因為要考慮的方面非常多，劉燁解釋道：API防御可能會面臨更大的挑戰(zhàn)。企業(yè)要找到業(yè)務(wù)邏輯可能會出現(xiàn)的漏洞，然后去降低風(fēng)險，降低企業(yè)遭受攻擊所造成的損失。

基于業(yè)務(wù)場景攻防

正如劉燁所述，與傳統(tǒng)Web應(yīng)用的防護不同，API的安全防護要求更為廣泛，往往是深入到業(yè)務(wù)邏輯中，并且涉及到多個環(huán)節(jié)，對任何環(huán)節(jié)的監(jiān)測不足都會影響到整體的安全防護效果。

企業(yè)如何著手做API防護？劉燁特別建議要重點考慮三個方面的問題。

第一，可視性。企業(yè)應(yīng)該給予API足夠的可視性。比如對于一些API接口的開發(fā)過程，開發(fā)人員通過這個接口在開發(fā)、測試、上線的時候會更容易取得某些數(shù)據(jù)，但是當(dāng)開發(fā)者離開以后，這些接口是不是仍然存在，其實不一定有完整的審計，也不一定有安全開發(fā)合規(guī)性流程。這種情況下，當(dāng)這些API推到互聯(lián)網(wǎng)以后就可能不具備足夠的可視性。

第二，漏洞風(fēng)險。企業(yè)要了解上線的應(yīng)用里，易遭受攻擊的風(fēng)險點到底有哪些，會不會出現(xiàn)一些已知的漏洞等等。這就要求企業(yè)要遵循最佳實踐去開發(fā)，最大化減少漏洞的出現(xiàn)，從而減少風(fēng)險點。

第三，業(yè)務(wù)邏輯。API攻擊的變化多樣不是針對于應(yīng)用本身的，而是針對業(yè)務(wù)邏輯的。因為這種針對業(yè)務(wù)邏輯的攻擊，可能獲取更具價值的東西。所以在業(yè)務(wù)邏輯方面，企業(yè)需要建立在不同業(yè)務(wù)場景下產(chǎn)生的基線，然后確定哪些是異常情況。

劉燁繼續(xù)解釋道：所有的業(yè)務(wù)場景可以分為幾個部分，首先是API的隱患，如果是注入類型的隱患，它與業(yè)務(wù)場景關(guān)系不大，但與API的開發(fā)技術(shù)相關(guān)。當(dāng)使用標(biāo)準(zhǔn)技術(shù)或?qū)嵤┓椒?，遵循軟件開發(fā)流程時，我們應(yīng)確保在這個過程中減少漏洞。

跟業(yè)務(wù)場景相關(guān)隱患的是從技術(shù)上看是沒有問題的、合乎邏輯的，但是從業(yè)務(wù)上來看就是有問題的，比如過度收集用戶數(shù)據(jù)可能與業(yè)務(wù)場景相關(guān)。

不同業(yè)務(wù)場景有很多不同防護重點。例如，在金融行業(yè)，對信用卡使用和交易安全防護的要求可能與社交媒體完全不同。在社交媒體中，用戶信息可能是防護重點，而在金融行業(yè)中，賬戶資金安全可能更為重要。因此，在不同業(yè)務(wù)場景下，按照業(yè)務(wù)邏輯，實施有效的保護措施非常重要。

對企業(yè)更重要的是根據(jù)業(yè)務(wù)場景建立自己的模型和基線，然后判斷是否存在針對特定業(yè)務(wù)場景的攻擊。因此，可以分為兩部分：首先是針對傳統(tǒng)注入類型攻擊的防護，這與API開發(fā)技術(shù)密切相關(guān)。通過開發(fā)最佳實踐，安全產(chǎn)品和服務(wù)，可以大大幫助用戶解決安全隱患。

對于基于漏洞的滲透，劉燁認(rèn)為可以通過這六步方法，幫助用戶提高API安全防護水平，減少潛在漏洞對系統(tǒng)的滲透。

首先，記錄API中的所有相關(guān)日志。例如，Akamai API Security產(chǎn)品利用大量離線分析和基于API訪問日志的建模來建立基準(zhǔn)。

第二，是要了解所有API的端點，這被稱為“API發(fā)現(xiàn)”，這一點非常重要。許多API的問題可能源于在開發(fā)過程中留下的接口，這些接口可能僅供內(nèi)部調(diào)用或用于部門間協(xié)作。

第三，是進行風(fēng)險審計，需要確定哪些記錄是敏感的，并建立審計方案來審查這些風(fēng)險并建立基線。

第四，建立基線后進行行為檢測，當(dāng)用戶違反了應(yīng)用邏輯時，應(yīng)能識別出該用戶。

第五，響應(yīng)，一旦識別出問題，需要給出防護措施的指導(dǎo)，如限制或中斷用戶訪問。

第六，事后分析，需要調(diào)整模型以應(yīng)對可能的風(fēng)險和惡意攻擊，這有助于優(yōu)化整體策略。

API的安全防護已成為企業(yè)數(shù)據(jù)安全的重要關(guān)注點，如何確保API交互過程中保護數(shù)據(jù)數(shù)據(jù)的完整性、機密性和可用性，將會是未來一段時間內(nèi)企業(yè)與專業(yè)安全提供商要共同面對的問題。