用XDR的思路保护API安全

云计算飞速发展的今天，越来越多应用程序已经转为选择云原生架构，这就少不了Serverless、微服务、API等技术的协助。

但同时也有越来越多的企业认识到，一定程度的“API安全”在整体安全与合规态势中发挥着至关重要的作用。然而，对很多企业来说，可能并不太明确API安全技术投资在其更广泛安全栈中的位置。

两个关键问题

随着时间推移，许多安全孤岛已经逐步发展，开始包含更统一的扩展检测和响应（XDR，Extended detection and response）方法。Akamai认为，将XDR的威力引入API安全领域，这方面有着巨大的机会。但要想这样做，无论安全产品供应商或企业安全团队，都必须首先考虑两个关键问题：

1. 我们今天所熟悉的XDR能否扩展到API安全领域？
2. API安全是否应该由一套单独的安全工具和实践来解决，从而将XDR的最佳创新应用于API带来的独特安全挑战？

检测和响应是一座巨大的孤岛

检测和响应安全威胁的技术已经诞生几十年了，而大多数此类“孤岛”在最开始时的目标其实非常狭窄，例如：

• 端点检测和响应，借此保护端点，有时还能保护服务器
• 企业内部网络检测和响应（NDR），用于检测和缓解企业和数据中心网络中的威胁
• 云端NDR，将类似概念扩展到云或混合云基础设施
• 安全电子邮件网关，用于检测和缓解基于电子邮件的攻击
• 外部威胁情报馈送，提供有关潜在威胁的早期预警信号

这些系统在降低风险方面都发挥了重要作用，但由于各自为政，其有效性受到了限制。每个系统都缺乏来自其他系统的信息，而其他系统可以提供更全面、更准确的威胁和风险信息。相反，以前，是由企业安全团队在这不同系统之间充当桥梁的。

连接孤岛，创建XDR

XDR创新在三个重要方面提高了安全性。这些创新可以：

1. 将上述所有孤岛的检测和响应信号融合为一个统一模型；
2. 利用云规模以及机器学习和行为分析等技术，在更长时间跨度内监控大量数据，提供更全面、更有意义的安全见解，并（或许更重要的是）建立基准行为以识别偏差；
3. 向安全团队展示人类可理解的、基于时间线的安全事件视图，避免警报疲劳，从而更快、更容易地做出果断响应。

如果实施和采用得当，XDR会对安全团队的生产力和效率产生变革性影响。

XDR原则能否更好地保护API？

注意：有些API涉及用户，被称为企业对消费者（B2C）API。本文将重点关注快速增长的，面向合作伙伴应用程序的对外API，以及基于API的机器对机器（M2M）通信这一广阔空间。

即使提供了重要安全价值，但API在XDR的应用中基本上是缺失的。如今，我们看到许多企业使用XDR专注于企业安全基础架构，其风险集中在用户连接到主机上运行的应用程序和云服务中。

相比之下，为M2M通信提供服务的API，其流量不同于用户和主机通信。因此，API安全威胁的特征也可能与企业安全威胁截然不同。例如，业务逻辑滥用等微妙攻击在传统企业安全领域并不存在，需要专门的检测和缓解方法。

因此，API安全可能无法从企业使用XDR（侧重于企业安全活动和威胁信息）中获得太多好处。但这并不妨碍将XDR原则用于API安全。事实上，B2B或M2M API流量的性质本身就表明必须使用XDR原则，因为在流量巨大的情况下，只有“扩展检测”才能发现未被察觉的API滥用行为。

以创新方式应用相同的概念

现有的XDR方法能否扩展以包含API？也许不能。将API安全性与DevSecOps和M2M通信等独特属性强加到标准XDR模型中，这也许是不可能的。

然而，XDR的许多核心概念与大规模保护API所需的概念完全相同（如图所示）。只是需要以独特而集中的方式加以应用。

XDR的许多核心创新可应用于API

这就是Akamai的API Security创新：我们将改变了企业安全领域的很多XDR概念应用于应用程序安全。

引领不断发展的API安全行业

就像企业安全技术从攻击签名和时间点检测发展到目前的行为分析一样，Akamai正在通过以下方式引领API安全行业的发展：

• 通过广泛的API流量数据收集，将检测扩展到基于云的服务，并提供长期数据保留和丰富的数据
• 真正的机器学习和行为分析
• 上下文调查和威胁猎取
• 自动化、灵活的响应机制，包括软件开发生命周期和API网关集成

我们相信，这种转变对API和应用程序安全的益处将比对企业安全的益处更大。如果没有行为分析的帮助，安全团队将无法跟上大量M2M通信的步伐。

将行为分析应用于大型数据集也是解决应用安全威胁细微差别的更好方法。例如，通过内联或时间点分析无法有效检测API滥用，创建正常行为基线以检测异常是区分滥用与几乎相同的合法活动的唯一方法。

威胁猎捕又该怎么办？

目前市面上有几种XDR解决方案能够在用户界面中猎捕威胁，其中一部分解决方案还提供托管的威胁猎捕服务。Akamai利用XDR原理也提供了这些服务。Akamai的用户界面包括一个功能强大的API威胁猎捕工具集。警报可触发团队使用实体时间轴、逻辑表达式等方式搜索恶意行为，以缩小流量范围。

Akamai认识到，API安全是一种新的解决方案，您所在企业的API威胁猎捕技能可能仍处于成长阶段，因此我们提供了Akamai API Security ShadowHunt，这是一种先进的托管式API威胁猎捕服务。

云原生架构大行其道，API的重要性与日俱增。准备好利用XDR概念来应对不断增长的API安全挑战了吗？Akamai API Security将为你带来截然不同的结果。