信息化观察网

本文来自微信公众号“GoUpSec”。

API（应用程序编程接口）在现代软件开发中占据着重要地位。API推动了应用程序、容器和微服务之间的数据和信息交换，彻底改变了Web应用的工作方式，催生了大量数字商业模式，因此API也被喻为数字经济的“交换机”。

尽管API有无数的好处，但黑客也可以利用API中的漏洞未经授权访问敏感数据和隐私数据，从而导致数据泄露、财务损失和声誉受损。因此，企业需要了解API安全威胁形势，并寻找缓解威胁的最佳方法。

API攻击暴增400%

API支持应用程序和系统之间的数据交换，能够无缝执行复杂任务，但随着API平均数量的增加，组织往往会忽视它们的漏洞，从而成为黑客的主要目标。根据SaltSecurity的《2023年第一季度API安全状况报告》调查结果，在过去六个月中，针对API的攻击增加了400%。

API中的安全漏洞会危及关键系统，导致未经授权的访问和数据泄露，例如Twitter和OptusAPI的泄露。网络犯罪分子可以利用这些漏洞发起各种攻击，例如身份验证攻击、分布式拒绝服务攻击(DDoS)和恶意软件攻击。API安全已成为一个重要的业务问题，另一份报告显示，到2023年，API滥用将成为导致数据泄露的最常见攻击媒介，而且50%的数据盗窃事件与不安全的API有关。因此，API安全性成为企业保护数据的首要任务，每年给企业造成高达750亿美元的损失。

2023年六大API安全威胁

对于大多数企业来说，保护API一直是一项艰巨的任务，主要是因为API内的配置错误以及云数据泄露的增加。随着安全形势的发展，API蔓延成为对API安全构成威胁的首要原因。API蔓延是指API在整个组织中不受控制地扩散，对于拥有多个应用程序、服务和开发团队的企业来说，这是一个常见问题。

随着API数量的增长，攻击面也在不断扩大，成为对黑客颇有吸引力的目标。问题在于API的设计并不总是考虑到安全标准。这会导致缺乏授权和身份验证，从而暴露个人身份信息(PII)或其他业务数据等敏感数据。

企业最关注的六个API安全威胁

数据来源：SaltSecurity2023年一季度API安全态势报告

API蔓延产生影子API和僵尸API，进一步威胁API安全。僵尸API是暴露的、废弃的、过时的或被遗忘的API，它增加了API安全威胁。当组织致力于开发新产品或功能时，他们经常会忽略在应用程序环境中“游荡”的僵尸API，从而使攻击者能够渗透易受攻击的API并访问敏感数据。

与僵尸API不同，影子API通常是第三方API，是在没有适当监控的情况下开发的，且未被跟踪和记录的API。影子API会给企业带来可靠性问题、不必要的数据丢失、违规处罚以及运营成本增加。

此外，物联网（IoT）等新技术的出现给维护API安全带来了更大的难度。随着越来越多的设备连接到互联网并可以远程访问，任何不充分的安全措施都可能导致未经授权的访问和潜在的数据泄露。此外，生成式人工智能算法可能会带来安全挑战。黑客可以利用人工智能算法来检测API中的漏洞并发起有针对性的攻击。

提高API安全的五大最佳实践

API安全已成为企业网络安全的重要关注点，需要采用整体网络安全方法来缓解威胁和漏洞。开发人员和安全团队必须通力协作实施以下五大最佳实践，以提高API安全性：

01

发现所有API

API发现对于发现僵尸API和影子API等现代API安全威胁至关重要。安全团队接受过保护关键任务API的培训，但发现内部、外部和第三方API对于增强API安全性也至关重要。企业需要投资自动化API发现工具，以检测每个API端点，并提供对API状态、位置和运行状况的可见性。

开发人员还应该通过集成API网关和代理来监控API流量，这有助于发现影子API。此外，安全团队需要创建定义如何记录、使用和管理API的策略，这将有助于进一步定位未知或易受攻击的API。

02

测试评估所有API

随着API安全威胁变得越来越普遍，安全团队不能依赖通用的测试方法。他们需要采用高级的安全测试方法，例如SAST（静态应用程序安全测试）。它是一种白盒安全测试方法，可以识别源代码中的漏洞并修复安全缺陷。向开发人员提供即时反馈使他们能够编写更加安全的代码，开发更加安全的应用程序。但是，由于SAST测试无法检测代码外部的漏洞，因此安全团队可以考虑同时使用其他安全测试工具（例如DAST、IAST或XDR）来提高安全标准。

03

采用零信任安全框架

用户必须经过授权和身份验证才能访问数据，这种方式在减少攻击面方面发挥着至关重要的作用。此外，利用零信任架构(ZTA)可以将API分为更小的单元，拥有自己的一组身份验证、授权和安全策略。这使安全架构师能够更好地控制API访问并增强API安全性。

04

实施API状态管理

API状态管理是帮助组织检测、监控和最大程度地减少由于易受攻击的API造成的潜在安全威胁的另一种好方法。各种状态管理工具持续监控API并通知有关可疑或未经授权的活动。这使组织能够迅速响应API安全威胁并减少攻击面。

API状态管理工具还能执行定期漏洞评估，扫描API是否存在安全缺陷，从而使组织能够采取措施加强API安全性。除此之外，这些工具还提供API审核功能，确保遵守行业法规以及其他内部政策，保持透明度并最大限度地提高整体安全标准。

05

实施API威胁防御

提高API安全性是一项持续的任务。因此，无论监控和安全政策多么强大，威胁仍然可能出现。这就需要实施主动的API威胁预防措施，以识别和缓解对业务产生不利影响的潜在API威胁。

API威胁预防包括使用专门的安全解决方案和技术，例如威胁建模、行为分析、漏洞扫描、事件响应和报告。此外，通过持续监控、加密或身份验证机制以及API速率限制，组织可以避免数据泄露并确保业务运营不间断。

API选型的六个基准问题

随着API数量和采用率的不断增长，企业的API安全面临着重大挑战，经常导致未经授权的访问和潜在的数据泄露。因此，确保API安全是每个开发者的首要责任。除了遵循以上五大API安全最佳实践外，在API安全工具和平台的选型时，企业通常还会关注以下基准问题：

●能否阻止攻击

●能否发现和识别所有API资产，包括没有文档记录的API

●是否支持实施“安全左移”API安全实践

●是否支持API事件响应和调查的流程化

●能否防御OWASPAPI安全TOP10威胁

●能否满足合规和法律要求