Akamai最近發(fā)布的針對亞太地區(qū)的深度研究報(bào)告《2025年API安全影響研究》顯示,盡管亞太地區(qū) 92% 的高管表示其組織在過去一年中曾遭遇API安全事件,但僅有 37% 的受訪者確認(rèn)他們清楚哪些API暴露了敏感數(shù)據(jù)。這一巨大認(rèn)知差距暴露出當(dāng)前企業(yè)在 API 安全管理中的盲區(qū),也凸顯出 API 資產(chǎn)可視化和風(fēng)險(xiǎn)識(shí)別能力的嚴(yán)重缺失。可以看出,在 API 使用日益頻繁的背景下,安全威脅正迅速演變?yōu)橹萍s企業(yè)數(shù)字化發(fā)展的關(guān)鍵風(fēng)險(xiǎn)。
API的網(wǎng)絡(luò)安全困境
近年來,網(wǎng)絡(luò)API 的深度應(yīng)用給企業(yè)帶來了很多嚴(yán)重的安全挑戰(zhàn),諸如惡意攻擊、敏感被數(shù)據(jù)泄露、用戶身份被盜等安全事件屢見不鮮,這給企業(yè)帶來了巨大的經(jīng)濟(jì)損失和聲譽(yù)上的損害。根據(jù)IBM《2024年數(shù)據(jù)泄露成本報(bào)告》,全球平均數(shù)據(jù)泄露成本已上升至488萬美元,創(chuàng)下歷史新高,是五年來的最高水平。
亞太地區(qū)面臨的網(wǎng)絡(luò)API安全問題具有全球代表性,導(dǎo)致的結(jié)果是制約了企業(yè)的數(shù)字化轉(zhuǎn)型進(jìn)程,也為數(shù)字經(jīng)濟(jì)的發(fā)展造成了巨大的風(fēng)險(xiǎn)隱患。也正因如此,API安全問題成為企業(yè)數(shù)字化轉(zhuǎn)型路上必須要預(yù)約的一道鴻溝。
造成API安全問題的主要原因,是企業(yè)對某些網(wǎng)絡(luò)API存在身份驗(yàn)證和授權(quán)機(jī)制的管理缺失。因此產(chǎn)生的漏洞很可能被攻擊者所利用,從而假冒為合法身份的用戶,進(jìn)而訪問到企業(yè)的敏感數(shù)據(jù),甚至是能執(zhí)行沒有經(jīng)過授權(quán)的操作。另外,也有些企業(yè)對部分API管理不完善,授予了他們過多的開放權(quán)限,讓攻擊者有機(jī)可乘獲取到額外的權(quán)限,從而導(dǎo)致嚴(yán)重的安全事件發(fā)生和重大經(jīng)濟(jì)損失。
尤其是在集成了較多API的復(fù)雜的系統(tǒng)中,如果API的管理以及API之間的交互不夠清晰完善,就可能會(huì)導(dǎo)致安全漏洞增多并且可以長期存在,同時(shí)還難以發(fā)現(xiàn)和及時(shí)修復(fù)。更為雪上加霜的是,隨著業(yè)務(wù)的快速發(fā)展和業(yè)務(wù)系統(tǒng)的頻繁變更,企業(yè)在開發(fā)新功能、系統(tǒng)的版本迭代過程中,可能會(huì)不斷地引入新的API安全漏洞,這就讓安全團(tuán)隊(duì)難以跟上如此快速的節(jié)奏,將不能及時(shí)發(fā)現(xiàn)并修復(fù)這些漏洞,也就無法做到全面的安全防護(hù)。
據(jù)Gartner預(yù)測,到2028年,超過50%的組織將把API管理作為其AI應(yīng)用架構(gòu)的核心組成部分。這一趨勢表明,API已從“技術(shù)風(fēng)險(xiǎn)點(diǎn)”轉(zhuǎn)變?yōu)槠髽I(yè)智能化基礎(chǔ)設(shè)施的重要基石。
據(jù)Gartner預(yù)測,到2028年,超過50%的組織將把API管理作為其AI應(yīng)用架構(gòu)的核心組成部分。這一趨勢表明,API已從“技術(shù)風(fēng)險(xiǎn)點(diǎn)”轉(zhuǎn)變?yōu)槠髽I(yè)智能化基礎(chǔ)設(shè)施的重要基石。
AI賦能,系統(tǒng)性防護(hù)新篇章
面對愈發(fā)嚴(yán)峻的API安全威脅,利用AI技術(shù)形成的系統(tǒng)性防護(hù)是目前較為流行的方式,來達(dá)成API的全生命周期防護(hù)。
API 資產(chǎn)可視化:運(yùn)用AI技術(shù)自動(dòng)抓取系統(tǒng)運(yùn)行中所有的調(diào)用過的API,包括“影子 API”API,實(shí)時(shí)跟蹤敏感數(shù)據(jù)流向,并為關(guān)鍵的數(shù)據(jù)傳輸端點(diǎn)加標(biāo)簽。隨時(shí)可以生成對應(yīng)的風(fēng)險(xiǎn)的熱力圖給到安全人員查看,哪里是高危風(fēng)險(xiǎn)一目了然。
分層協(xié)同防御:系統(tǒng)基礎(chǔ)防護(hù)層增加新一代WAF,利用自適應(yīng)安全引擎可準(zhǔn)確攔截注入攻擊、XSS等老款WAF防范的傳統(tǒng)威脅;新一代WAF集成了API防護(hù)和Web應(yīng)用防護(hù),可快速發(fā)現(xiàn)異常參數(shù)組合或非常規(guī)訪問行為,并及時(shí)發(fā)現(xiàn)數(shù)據(jù)爬取、權(quán)限濫用等高級(jí)威脅。
構(gòu)建API安全防護(hù)堡壘
劉燁 Akamai北亞區(qū)技術(shù)總監(jiān)
“API安全防護(hù)要想真正有效,必須系統(tǒng)構(gòu)建四大能力模塊。”Akamai北亞區(qū)技術(shù)總監(jiān)劉燁指出,“包括API資產(chǎn)的可視化和分類管理、智能化威脅監(jiān)測與響應(yīng)機(jī)制、運(yùn)行時(shí)動(dòng)態(tài)防護(hù)體系,以及貫穿開發(fā)周期的安全測試流程。這是構(gòu)建企業(yè)API安全體系的核心支柱,也是應(yīng)對未來攻擊趨勢的關(guān)鍵所在。”
精準(zhǔn)洞察,持續(xù)鑄就:企業(yè)需要健全一套完整且持續(xù)的API發(fā)現(xiàn)流程及流程化自動(dòng)對接,將不同來源和形態(tài)的API編織成一張完整的API圖譜;需要把API進(jìn)行有效的歸類分級(jí),做好API資產(chǎn)管理工作;要基于自動(dòng)化的方式去對潛在風(fēng)險(xiǎn)較大的API進(jìn)行搜索并進(jìn)行清理,做精細(xì)的API資產(chǎn)管理。
高效預(yù)警,實(shí)時(shí)護(hù)航:企業(yè)要建立完整威脅檢測、威脅響應(yīng)體系,像守住城門一樣時(shí)刻注意防止API的安全威脅入侵。建立風(fēng)險(xiǎn)監(jiān)測儀表盤,全程跟蹤API漏洞修補(bǔ)的進(jìn)度。為此要配備最新的安全監(jiān)測手段,實(shí)時(shí)監(jiān)測API業(yè)務(wù)的每一跳如何運(yùn)行,及時(shí)發(fā)現(xiàn)訪問路徑上有無非授權(quán)訪問行為,并捕捉到潛在的異常攻擊跡象。
全域守護(hù),實(shí)時(shí)應(yīng)對:企業(yè)應(yīng)部署全方位的運(yùn)行時(shí)保護(hù)方案,在運(yùn)行環(huán)境中植入動(dòng)態(tài)防御引擎,結(jié)合機(jī)器學(xué)習(xí)算法與安全規(guī)則庫,精準(zhǔn)識(shí)別并抵御各類攻擊行為。唯有如此,才能應(yīng)對層出不窮的新型攻擊,讓API在生命周期之內(nèi)長存于安全“暖陽”之下。
測試先行,安全護(hù)航:企業(yè)要在API開發(fā)的過程當(dāng)中做好安全測試,。在開發(fā)過程中嵌入OWASP API安全測試標(biāo)準(zhǔn),進(jìn)行全面的自動(dòng)化測試。通過這種深度安全測試與驗(yàn)證機(jī)制,才能夠最大程度地降低API在上線的時(shí)候出現(xiàn)的安全問題,使API更加具有安全性。
Akamai為API安全保駕護(hù)航
面對這么嚴(yán)峻的API安全威脅,Akamai為企業(yè)提供了一系列先進(jìn)的API安全解決方案,旨在幫助企業(yè)增強(qiáng)API安全性,有效抵御API安全風(fēng)險(xiǎn)威脅。
APP & API Protector:Web應(yīng)用防火墻,為企業(yè)建一座堅(jiān)不可摧的WEB、API防護(hù)長城,里面融匯了2個(gè)AI驅(qū)動(dòng)的自適應(yīng)安全引擎及行為DDoS引擎,即可敏捷捕獲各處不為人知的安全漏洞,打擊各類安全風(fēng)險(xiǎn);多引擎聯(lián)合作戰(zhàn),精密配合,能提升檢測效率、提高檢測精準(zhǔn)度。
API Security:是AI技術(shù)的智能化應(yīng)用,可以實(shí)現(xiàn)自動(dòng)掃描企業(yè)所有活躍的API接口,并為API的安全管理打下良好的基礎(chǔ);同時(shí)可以敏銳地發(fā)現(xiàn)是否存在敏感數(shù)據(jù)泄露的風(fēng)險(xiǎn)、嚴(yán)密地觀察著API接口被非法訪問的過程以及攻破攻擊入口處存在哪些問題、準(zhǔn)確無誤地識(shí)別出是否存在影響企業(yè)業(yè)務(wù)發(fā)展及運(yùn)作的安全風(fēng)險(xiǎn)點(diǎn)。值得一提的是,在2024年,Akamai收購了API安全行業(yè)的頂尖企業(yè)——Noname Security,并將他們的先進(jìn)功能加入到了API Security中,使得Akamai API安全防護(hù)處于領(lǐng)先優(yōu)勢的地位。
Akamai北亞區(qū)技術(shù)總監(jiān)劉燁表示“Akamai安全方法并不局限于傳統(tǒng)策略,而是以系統(tǒng)性思維出發(fā),形成了兩大安全組件的協(xié)同防護(hù)體系。我們的APP & API Protector聚焦于防御常見應(yīng)用層漏洞,而API Security則能深入識(shí)別業(yè)務(wù)邏輯層面的問題,甚至包括一些企業(yè)并未意識(shí)到的‘隱性API風(fēng)險(xiǎn)’,二者協(xié)同作用,幫助企業(yè)構(gòu)建起一張立體、無縫的API安全防護(hù)網(wǎng)絡(luò)。”
“以我們的客戶敦煌網(wǎng)為例,他是一家知名的全球電子商務(wù)平臺(tái)。在全球范圍內(nèi)的快速擴(kuò)張過程中面臨著API流量激增、敏感數(shù)據(jù)泄露以及惡意機(jī)器人攻擊等挑戰(zhàn)。通過部署Akamai的API Security,App & API Protector以及Bot Manager,敦煌網(wǎng)在整個(gè)API生命周期中實(shí)現(xiàn)了API可視化與高效保護(hù),且無需對現(xiàn)存的應(yīng)用架構(gòu)進(jìn)行重大修改。”
結(jié)語:
當(dāng)下的API的普及,正是互聯(lián)網(wǎng)+的必然要求。以前的傳統(tǒng)防御手段無法阻擋API的安全威脅,必須依靠更加先進(jìn)的手段去抵御API帶來的安全威脅。唯有這樣,才不會(huì)讓數(shù)字經(jīng)濟(jì)陷入系統(tǒng)性風(fēng)險(xiǎn)中。
假如企業(yè)可以通過應(yīng)用系統(tǒng)化的防護(hù)辦法,實(shí)現(xiàn)常態(tài)化檢測、威脅處理、運(yùn)行時(shí)防護(hù)以及左移測試等等一系列策略的話,那就能使得企業(yè)的API的安全防護(hù)上升到一個(gè)新的高度。如果能把上述的方法和Akamai的技術(shù)結(jié)合起來,就能給企業(yè)提供更有效率的管理,并保證業(yè)務(wù)、業(yè)務(wù)連貫性、合規(guī)性等等,抓住這一波數(shù)字化的紅利。
