超80%互联网流量由API承载 企业如何应对其安全挑战？

API（Application Programming Interface）意为程序之间的接口，其一个主要功能是提供通用功能集，同时也是一种中间件，为各种平台提供数据共享。API对于企业，其既能连接服务，又可以用来传输数据。随着互联网、物联网的快速发展，越来越多的开发者会使用API为客户提供各种微服务并通过云原生应用快速部署容器进行敏捷开发。因此无论是在互联网访问网络资源或者通过物联网进行系统应用的控制都会利用API。

因此，其重要性使得针对API的安全防护非常重要也非常敏感。许多重大数据泄露问题，其幕后的大部分原因都离不开API遭到破坏、泄露或攻击。受到攻击的API会让医疗、金融和个人等隐私数据公之于众，被不法分子利用。而根据2023年首席信息官状况调查报告，安全性是首席信息官的首要任务之一。调查显示，近三分之一的首席信息官将IT和数据安全视为重中之重。由此，首席安全官应给予API安全性问题足够重视。

在当今的数字经济中，各企业越来越依赖API以支持Web和移动应用程序，使客户更容易通过连接的设备或应用程序使用服务，据悉，API流量现在占当前互联网流量的80%以上。随着各种API的激增，若企业无法将适当的API治理部署到位，整个数字化业务系统就会有崩溃的可能。

根据Salt Security State发布的《API安全研究报告》（以下简称“报告”）内容，“僵尸API”是企业和组织需要关注的首要API安全问题，此类API较为陈旧或很少使用，缺乏持续补丁、维护或更新，将成为攻击者的跳板，为企业带来严重安全隐患。

其次为“影子API”，即组织或开发人员使用的未记录和未跟踪的第三方API，通常是为恶意目的而创建的。据《报告》数据，从2021年7月到2022年7月，平均每位客户的API数量增长了82%，由于API的使用率激增，企业往往无法全部跟踪管理，因此，一些API无法及时进行维护更新，从而成为了被恶意黑客公开利用的漏洞。

首席信息官必须了解API环境，以帮助公司降低风险，通过围绕API安全制定强有力的战略，帮助公司保持快速发展并专注于创新。

● 及时维护更新API库存

首席信息官在促进开发和安全团队之间的跨职能协作方面发挥着重要作用，需要制定针对API安全的治理策略，优先考虑API清单评估，以便企业拥有在基础架构中运行的API的准确列表。首席信息官需要了解与“影子API”“僵尸API”等相关的风险，把控企业内部所有API的位置，它们是什么、做什么、怎么做，并能够在运行时持续监控它们的滥用情况，持续的API库存监控有助于开发人员消除上述安全风险的可能性。

● 持续保护API运行

保护已投入生产的API运行是API安全最为重要的环节之一。企业要使用对典型的用户行为及API行为进行基准测试的工具，获得必要内容，识别平台是否存在可能引发威胁的异常行为。此外，保护API免受攻击还可以通过持续的身份验证及授权等方法，例如利用身份和访问管理（IAM）、公钥基础设施以及密钥管理等工具。通过将访问控制和身份存储隔离在外部、避免使用API密钥进行身份验证，以及增加安全层等，都可以大大降低攻击者成功渗透到敏感区域的可能性。

● 加强API监控

企业对API应用安全性的忽视，同样是造成API安全风险的原因之一。当API应用缺少监控时，会给潜在的攻击者足够的时间来建立对受损API的访问并保持长期连接。这种隐形攻击可能导致企业财产、商誉和数据资产的损失。据OWASP的说法，组织检测修复漏洞的平均时间约为200多天，因此IT人员需要在更短时间里发现API应用的异常情况。