近年来,API作为在移动互联网时代中连接数据和应用的重要通道,承载着越来越复杂的应用程序逻辑和越来越多的敏感数据。正因如此,API也成为黑产的重点攻击目标,API遭受攻击的事件屡见不鲜并影响巨大。这也让企业越来越意识到需加强API的安全管控来防控风险发生。但目前企业对如何采用正确的路径来搭建API安全防护体系,仍然存在不少误区。
在长期对企业业务安全跟踪研究中,我们发现导致企业在API 安全性方面遭遇问题的主要原因有三个。无论你的企业目前的API防护处在哪个阶段,都需要去了解这些原因才能避免API安全问题的发生。
一、API安全风险意识薄弱
许多企业到现在为止都不认为自己的API存在风险。原因在于承载数据交互的API往往由于其“不可见”的特点,其存在的安全问题就很容易被企业忽略。同时,API 的可见性通常取决于人工操作,人工操作很难提供完整的API信息,而公司内部人员的不断变化及业务的快速迭代更新,使得API的可见性和管理更具挑战。这也致使许多企业对API安全管控还存在以下几种思维误区:
01、我们没有太多API,不存在管理问题
许多企业实际上并不清楚自己拥有多少API,通常只会关注到在频繁使用的业务API,一些历史系统的API和老版本的API很容易就被忽略掉,而正是这些被遗忘的影子API和僵尸 API 存在着极大的安全风险。
永安在线在帮助众多客户进行API资产梳理中发现,客户提供过来的API文档与梳理出来的 API 进行比较,有明显的数量差距。如,某金融客户提供的文档中只有100多个API,但经过永安在线API识别引擎的梳理后,得出的API总量有500多个,包含从V1到V8共八个历史版本的API,其中一些老版本中的API携带着极其敏感的数据,如果没有进行深度的API资产梳理,安全团队根本无法了解 API 真实资产情况,也意识不到将会带来数据暴露风险。
02、我们的API都在内网,所以很安全
在许多企业看来,他们所有的 API 都在内网环境中,所以很安全。现实情况是,API 比你想象的更加公开。研发人员常常会因为测试便利、启用第三方开发人员访问以及为合作伙伴演示等不经意原因向外部公开 API。如果在安全团队不知情的情况下暴露所有这些情况,则会带来重大风