萬物互聯的數字時代，API 在應用環(huán)境中變得越來越普遍，通過 API 可以快速構建產品和服務，并迅速響應客戶的需求，它已成為數字化企業(yè)的必備技能。尤其在后疫情時代，遠程辦公、線上教學等線上應用迅速發(fā)展，作為一種能夠支撐線上應用連接和數據傳輸重任的輕量化技術，API 已無處不在。與此同時，API 承載著企業(yè)核心業(yè)務邏輯以及敏感數據，因此成為網絡犯罪分子的重點攻擊目標。

成都創(chuàng)新互聯服務項目包括山陽網站建設、山陽網站制作、山陽網頁制作以及山陽網絡營銷策劃等。多年來，我們專注于互聯網行業(yè)，利用自身積累的技術優(yōu)勢、行業(yè)經驗、深度合作伙伴關系等，向廣大中小型企業(yè)、政府機構等提供互聯網行業(yè)的解決方案，山陽網站推廣取得了明顯的社會效益與經濟效益。目前，我們服務的客戶以成都為中心已經輻射到山陽省份的部分城市，未來相信會繼續(xù)擴大服務區(qū)域并繼續(xù)獲得客戶的支持與信任！

API 安全事件頻發(fā)

近年來，由于API的高速發(fā)展以及業(yè)務增速和安全的不對位，因此API安全問題導致的數據泄露事件頻發(fā)。例如：

• 2021年4月Facebook5億用戶數據泄漏，根據暗網上公布的數據截圖，涉及到用戶的昵稱，郵箱，電話，家庭住址的信息判斷，為業(yè)務接口泄漏。
• 2021年6月，根據裁判文書網公開的判決案例顯示，犯罪嫌疑人逯某通過某寶業(yè)務接口開發(fā)的爬蟲軟件獲取了用戶id，昵稱，電話號碼等信息11億條。
• 2021年12月，國內某證券公司的客戶信息數據，包括：用戶姓名、手機號、開戶時間、交易情況等敏感數據，以每日1萬多條的量級在數據交易平臺被售賣。經驗證分析，證實為內部系統(tǒng)數據API管控疏忽導致。

至于為何企業(yè)會持續(xù)不斷的發(fā)生類似問題？首先，企業(yè)的業(yè)務迭代速度越來越快，對線上業(yè)務的API管理難度增加；此外，對于企業(yè)的安全團隊來說，線上業(yè)務的風險管理不單單是技術問題，需要業(yè)務方有足夠的主動配合意愿；另外，當黑灰產已經開始以業(yè)務風險為主要攻擊平面的時候，企業(yè)對業(yè)務安全的意識不夠，需要時間來轉換。

API 安全風險加劇 

據《2021年中國互聯網安全報告》數據顯示，2021年針對API業(yè)務的攻擊達到147.98億次，同比增長超過200%。此外，針對API業(yè)務的攻擊手段類型整體趨于多樣化。 

Gartner 曾預測:“到 2022 年，API 濫用將從原本頻率較低的攻擊類型變?yōu)閷е缕髽I(yè) Web 應用程序數據泄露的最常見攻擊媒介?！?nbsp;

果不其然，根據研究部門 Salt Labs 發(fā)布的《2022年第一季度 API 安全狀況報告》顯示，過去一年，惡意 API 流量增加了 681%，有 95% 的企業(yè)都經歷了 API 安全事件，而且大多數企業(yè)并沒有準備好應對這些挑戰(zhàn)，還有 34% 的企業(yè)沒有 API 安全策略。

Karma 情報平臺通過捕捉到的 API 自動化攻擊工具和攻擊流量對近期的API安全風險態(tài)勢進行了分析：

• 網絡攻擊持續(xù)高發(fā)，API攻擊量月均超25萬；
• 營銷作弊仍是主要的API攻擊場景，數字藏品被攻擊熱度依舊高漲；
• 惡意爬蟲針對API進行破解和偽造，房源、招聘等信息成重點爬取對象；
• 利用API非法竊取數據，數字政務成為重點攻擊目標。

API存在安全缺陷是導致API攻擊的主要原因。據永安在線《API安全研究報告》顯示，未授權訪問、允許弱密碼、錯誤提示不合理以及云服務配置錯誤是近期需要引起重視的四類API安全缺陷。

其實，API漏洞與Web漏洞大同小異，API 調用能更容易、更快速地實現自動化，這是其設計使然，可也是一把雙刃劍，不但方便了開發(fā)人員，同時也方便了攻擊者。

API 安全性建議

Akamai 在其發(fā)布的《互聯網現狀/安全性》報告中建議了幾項 API 安全性的最佳做法:  

1. 發(fā)現您的 API 并對它們進行逐一盤點跟蹤。許多企業(yè)都遭遇過他們毫不知情的 API 所引發(fā)的事件。因此，了解 API 的位置及其用途至關重要。與此相關的還有企業(yè)使用的外部 API。這些 API 也需要得到識別和保護，或者至少被登記為潛在的風險項目并得到評估。

2. 一旦確定所有 API 的位置，您就要對它們進行測試并了解其中存在哪些漏洞。這不僅需要測試工具和扎實的開發(fā)人員培訓，也需要與現有安全團隊緊密合作。另外還需要針對風險承受能力進行探討，并制定計劃以盡早修復漏洞。首先確定是否存在硬編碼密鑰、邏輯調用，并了解 API 流量是否會受到冒充攻擊的影響。還有一個好辦法就是掃描存儲和代碼庫以查找可用于破壞 API 或與其相關的任何內容的密鑰。

3. 在開發(fā)和發(fā)布期間，充分利用現有的 WAF 基礎架構、任何身份管理和數據保護解決方案，以及任何專門的 API 安全工具。此外，確保 API 安全性是一項長期工作，而不是開發(fā)過程中的一次性任務。新的漏洞和攻擊源源不斷，一次性檢查只會讓攻擊面暴露在風險之中。

4. 在 API 策略方面，盡量避免為每種 API 使用唯一的策略，而是偏向于可以重用的一攬子策略。此外，不要將策略直接編碼到需要保護的 API 中。這樣做違反了職責分離機制，增加了不必要的復雜性，也額外加重了維護代碼的人員的管理負擔，并造成安全團隊缺乏可見性。有一條有效的經驗法則，就是將任何資源的默認訪問級別設置為空值或拒絕。這會強制執(zhí)行最小特權，并使身份驗證成為一項持續(xù)要求。

5. 在某種層面上，API 開發(fā)需要各種利益相關者的參與。其中包括開發(fā)團隊、網絡與安全運營團隊、身份相關團隊(如果他們不屬于運營團隊)、風險管理師、安全架構師，以及法律/合規(guī)團隊(以確保產品遵守所有治理和監(jiān)管法律)。

如今，針對API的攻擊逐漸成為惡意攻擊者的首選，將有越來越多的攻擊者利用API竊取敏感數據并進行業(yè)務欺詐，API作為數字時代應用服務化的關鍵技術支撐，為其構建健全的安全防護體系已勢在必行。?

網站欄目：?95%的企業(yè)受影響？API安全防護勢在必行！
分享鏈接：http://uogjgqi.cn/article/djososg.html