腾讯API安全公测重磅开启，你的API安全吗？

7亿多Linkedln用户的数据被在暗网售卖；Parler网站涉及1000万用户超过60T的数据泄漏；Clubhouse泄露130万条用户记录……近年来Web应用数据泄露案例层出不穷，究其根因，其实是——API不够安全。

所谓API，即应用程序接口（Application Programming Interface)，可以应用于所有计算机平台和操作系统，以不同的格式连接数据、调用数据。比如，消费者可以在电商平台查询所购商品的物流信息，这实际就是电商平台与物流公司之间使用“API位置实时调用”产生的效果。

在千行百业数字化转型的背景下，API成为了数字化体验的中心，APP、WEB网站和小程序等应用的核心功能、微服务架构等均离不开API的支持。不过，许多企业追求快速的API和应用程序交付，却忽视了API安全保护。因此，针对API的攻击也成为了恶意攻击者的首选。

9月28日，腾讯安全正式启动API安全公测，联动腾讯Web应用防火墙、腾讯安全威胁情报、腾讯天御业务安全等能力，帮助企业全面识别API风险，针对性收敛API暴露面，构建全面、智能、精准的API安全防御体系。

API安全面临四大挑战

安全隐患往往藏于“未知”，API普遍应用于新业务、新场景、新环境之下，众多企业用户并不了解自己拥有多少API，就更别提保证每个API都具备良好的访问控制策略，未知的僵尸API、未知的影子API、未知的敏感数据暴露等比比皆是。

据Gartner权威研报预测，到2022年API滥用将是最常见的攻击方式；到2024年，API安全隐患导致的相关数据泄露将近乎翻倍。

目前来看，企业的API安全面临四大挑战，要求我们对API资产的全貌做清晰的盘点：

1、应用和逻辑迁移上云，暴露更多攻击面：相对于传统数据中心的单点调用，企业服务上云后，调用的来源和范围更广，东西向和南北向都可能成为API的攻击面。

2、强调开发速度和灵活性，忽略构建API安全：更多企业转向采取敏捷开发模式，但在提升软件构建效率的同时，企业对于如何构建API安全性缺少合适的方法，难以顾及API安全。

3、内部接口缺少维护，引发多种攻击隐患：开发应用时，可能会涉及大量的内部接口书写，由于人员变动、缺乏维护等原因被忽略，给攻击者留下突破口。

4、企业低估API风险，造成安全措施遗漏：构建应用的过程中，企业对于可能存在的安全风险较为乐观，防护措施不足，低估了上线后API被攻击的可能性。

（API安全面临的四大挑战）

而 OWASP 也根据可利用性、弱点普遍性、弱点可观测性、技术影响、业务影响等维度梳理了十大最关键的 API 安全风险。从 OWASP API Security Top 10 我们也可以发现，如授权、身份认证、安全配置等风险，均是由于我们在设计到上线过程中没有针对暴露面做好及时的收敛，因此意外造成的数据泄露、API滥用、权限外泄等事件也难以遏止。

（OWASP API Security Top 10）

腾讯API安全产品

聚焦API防御体系打造

腾讯API安全聚焦API防御体系打造，以异常暴露面管理为首个突破重点，助力企业全面清点API资产、智能发现API动态变化及风险趋势、精准识别API暴露面及敏感数据，帮助企业收敛API暴露风险。

腾讯API安全识别异常暴露面的解决思路主要分成如下三个步骤：

1、摸清家底：通过流量分析，自动化清点API接口，动态盘点业务API调用关系，将僵尸API、影子API、涉敏API一网打尽。

2、洞悉风险：结合腾讯安全能力沉淀，洞悉业务流量中可能存在的风险问题，快速识别当前API业务场景，了解业务的风险趋势及可能存在的漏洞威胁。

3、合规运营：持续识别 API参数暴露面，对各类敏感的参数信息、后台参数等进行持续检测，包括但不限于银行卡号、身份证号等信息，防止敏感信息泄露。

而异常暴露面发现的基石就是API的资产发现和流量分析能力，腾讯API安全解决方案具备如下五大优势，可以对API风险进行发现及管控：

01: 零部署，即开即用

针对已接入WAF的域名，一键即可开启API安全管控能力。

02: 资产全自动发现