超90%的Web应用程序攻击来自API，企业该如何应对API安全挑战？

API作为一种应用程序接口，既能连接服务，又可以传输数据，是各业务系统之间的关键交互枢纽，堪称企业数字化转型的利器。近日，OWASP正式发布了2023年API安全Top 10风险清单，强调了不安全API的潜在风险，为开发人员和安全人员提供指导。

API风险日趋严重

根据最新研究数据统计，目前公共和私人API的应用数量已接近2亿，而到2031年，这个数字可能会超过10亿。API应用快速增长的同时，风险也与日俱增。据Gartner研究，2022年，超过90%Web应用程序遭到的攻击来自API。据国际权威调查显示，API攻击流量在一年中增长了681%，94%的失窃数据涉及API暴露安全。

与之相呼应的是，近些年发生了很多重量级的API攻击事件，例如：黑客通过API漏洞入侵了7亿多Linkedln用户的数据，并在暗网上出售这些数据；黑客攻击Parler网站的API安全漏洞，非法获得1000万用户超过60TB的数据；Clubhouse因API安全漏洞泄露了130万条用户记录。据 IBM《数据泄漏成本报告》统计，数据泄漏的平均成本为386万美元；涉及超过5000万条消费者记录时，补救成本可能高达3.92亿美元。

API为何变得如此凶险

从原来的企业数字化转型好帮手，到成为Web应用程序攻击的主要突破口，API在这个过程中经历了什么？

在数字化发展过程中，企业越来越依赖API支持Web和移动应用程序，方便终端用户访问或者使用相关服务，企业等组织之间也更多的通过API来互相传输数据、输送能力。但随着API的快速增长，如何管理这些API成为了一个棘手的问题。当企业缺乏适当的管控、治理手段时，僵尸和影子API等威胁就会出现。

根据Salt Security State发布的《API安全研究报告》显示，僵尸API是组织需要关注的首要API安全问题，此类API通常是陈旧、过时、很少使用或被抛弃的API。由于企业没有对这些API进行控制，它们便一直存在于业务系统中。加之极少会使用或者干脆被遗忘，缺乏维护和更新，让它们成为了攻击者的突破口。

其次是影子API。影子API是创建和部署在安全监控范围外的API端点，即组织或开发人员使用的未记录和未跟踪的第三方API。这类API可能存在不适当的身份验证和授权、错误地暴露敏感数据等问题，容易受到攻击。

此外，企业在内外部业务中正常使用的API也容易受到攻击。这类API参与了日常的业务建设，但由于组织不够重视或者疏于管理，加之研发人员素质参差不齐，研发工作流程管理不规范等原因，导致其容易被不法分子盯上。

传统防护方案漏洞频出

保障API安全，从而保障业务安全，事关企业的数字化转型，是企业的迫切需求之一。

既然已经意识到日益严峻的API安全形势和API的重要性，为何当前的API安全仍然有那么多漏洞？究其原因，主要有两点：首先是传统的防护难以满足API安全防护的发展要求，传统的安全防护手段主要以边界安全为主，无法覆盖到API敏感数据的保护；大量的影子API没有在网关注册，存在安全漏洞等。其次是企业对于API安全重视程度不足，如很多API未经严格的安全测试就上线发布；API上线之后缺乏管理，缺少更新、升级、维护，埋下了安全隐患。

如何应对API安全风险

API安全至关重要，如何防护成为企业不得不面对的现实问题。石犀科技推出的石犀数据流动治理平台（石犀平台），不同于传统安全防护产品，在API治理方面有着独到之处。

石犀平台支持用户对API资产进行梳理盘点，通过可视化大屏和多维度的报表，可完整清晰展示用户的API情况，如API资产可视、API关系梳理等；完成盘点后，自动进行场景标签分类，对API进行可视化和风险分析；通过特定的插件对API安全漏洞进行检测，对非法访问行为、恶意流量以及恶意用户等进行逐一甄别；最后，针对发现的API安全漏洞，石犀平台可提供防护插件，做到全方位的检测与防护，提高API安全性。

值得一提的是，在治理具体API安全威胁的过程中，石犀平台通过插件来解决具体问题，无需使用传统的硬件防护设备。当石犀平台检测到安全威胁时，只需要加载对应的插件对威胁进行处理。据了解，目前石犀平台已有40余款插件，涵盖安全与防护、优化与效率、认证与鉴权、转换与连接、控制与策略等各个方面，可充分满足API安全防护及其他需求。  

未来，用户的API资产将会越来越多，API面临的安全问题也层出不穷。尽管API安全防护面临诸多难点，但也并非束手无策，通过提升重视程度，加强自身管理，并借助外部专业力量，可以有效帮助企业解决API不可知、不可控两大核心问题，筑牢API安全防线。