首屆API安全管理論壇成功舉辦，聚焦API安全共話最佳實踐 - 網安

12月3日，首屆API安全管理論壇在深圳成功舉辦眾多安全領域技術專家以及企業信息安全決策與實踐者齊聚一堂，圍繞數字化時代下API面臨的挑戰及如何進行API安全管理進行了分享與探討，論壇現場座無虛席，精彩觀點不斷。

（論壇現場座無虛席）

對API的保護本質上就是對數據安全的保護

API 在現代應用程序架構中發揮著非常重要的作用，當創新發展和安全意識發展的不同步發生時，帶來的安全風險將加大，目前API面臨的十大關鍵安全風險是哪些？在論壇伊始，OWASP中國廣東區域負責人肖文棣以OWASP API Top 10作為基礎，結合案例詳細解讀十大API安全風險。

他表示，無論線上購物還是進行銀行交易都離不開對API的訪問和控制，對API的保護實質上就是對數據安全的保護，這是企業必選題。OWASP API Top 10是通過可利用性、弱點普遍性、弱點可檢測性、技術影響、業務影響等指標來進行風險評級評出，企業應當針對這些API關鍵風險進行逐一解決，特別是關注API業務邏輯缺陷和過度數據暴露，在現場，他為參會者分享了預防策略。

（OWASP中國廣東區域負責人肖文棣）

API安全應該獨立于Web安全之外

Web API本身是一個cgi，API安全一直以來都是Web安全中的一類，為什么最近幾年偏偏把API安全單獨拿出來討論？API面臨哪些安全挑戰？該如何來做好防御？騰訊技術工程事業群安全專家胡珀就以《新的安全威脅：API安全的挑戰及應對策略》為主題進行了分享。

他提出，目前企業都擁有大量的API，很多數據安全事件也因為API濫用所致，這是API單獨拿出來討論的直接原因。而API安全形勢之所以嚴峻，主要源于四個原因：外部黑客緊盯、能力沉淀不足、支撐功能未跟上、自身安全機制考慮欠缺。這些除了自身安全意識的提高之外，也更需要針對性的管理工具來輔助。

（騰訊技術工程事業群安全專家胡珀）

API安全場景下數據安全的管理難點在哪？

在云原生背景下，微服務架構的API治理與數據安全的保障密切相關，將如何進行應用安全保障？樂信集團信息安全中心總監劉志誠以《API安全解決數據安全問題實踐》為主題進行了分享。

他認為，數據安全疑點主要在三個方面：一是分級分類如何應用，二是數據脫敏的When和Where，三是API訪問數據的Who和How。目前大量API的分級分類管理存在困難，因此涉敏數據的暴露不斷發生。作為企業安全的設計者、建設者和管理者，解決數據安全問題的首要就是對API的清晰梳理，才能對涉敏數據的分級分類管理，解決數據安全問題。

（樂信集團信息安全中心總監劉志誠）

API因承載數據和業務邏輯，已成為了新的攻防面

API因承載數據和業務邏輯，成為了新的攻防面，并且攻擊能夠隱藏在符合邏輯的合法訪問請求中，目前常用的安全工具能否解決這些API安全管理問題？更有效的技術路徑又是哪些？永安在線COO邵付東以《API安全管理的更優解：以情報建立API安全基線》為主題對這些問題進行了分析和分享，并發布以永安在線核心技術優勢——行業領先的【情報】打造的產品：API安全管控平臺。

（永安在線COO 邵付東）

隨著企業在整個研發過程中越來越強調敏捷開發和（CI/CD）集成部署，導致整個業務研發節奏加快，很多企業對API的管控處于失控狀態，出現了接口未知、攻擊未知、阻斷未知的挑戰。

邵付東表示，在面對業務快速發展，API快速更迭，攻擊流量隱藏在正常的業務流量當中并且更多利用API業務邏輯漏洞進行攻擊的現狀，市面現有通過WAF和API網關來進行API安全管理的方式存在明顯不足。例如不是所有的API流量都會經過WAF，尤其是東西向流量，并且它根據每條流量及時做出判斷，無法解決API邏輯攻擊；另外，不是所有的API都會到網關注冊，業務會存在大量影子API，而且授權和限頻等方法無法解決黑產利用海量小號、秒撥代理IP進行的低頻攻擊。從而導致大量的誤判、漏判。接口未知、攻擊未知、阻斷未知的狀態無法很好解決。

API安全管理的更優解：

永安在線API安全管控平臺

對此，永安在線推出了新一代API安全管控平臺，以情報建立API安全基線，通過旁路鏡像的方式提供API資產梳理、敏感數據管理、API風險感知、API安全缺陷評估等多方面能力。幫助企業構建可預防、可解釋、可溯源的API安全管理體系，讓企業能夠有效實現對API資產的全面盤點、防止敏感數據暴露、預防發現阻斷API遭受攻擊、提升風險事件的響應速度以及數據合規自查。

1、以精準情報建立API安全基線，提高攻防對抗主動權

通過精準情報為業務建立API安全基線。誤判率低，可用性高，風險發現準確達95%，可及時全面感知企業外部API風險，尤其是隱匿在正常業務流量中的黑產攻擊。

2、全面梳理API資產，快速定位攻擊點和薄弱點

自動化實時發現企業內部、外部和第三方API，包括未知（影子）API和失活（僵尸）API，提供完整的實時更新的API清單。

3、敏感數據的流動管理，實現數據合規自查

依據《金融數據安全數據安全分級指南》將敏感數據類型分級管理，支持40多種敏感數據的查詢，清晰掌握自身敏感數據的流動情況。

“我們的產品優勢在于通過情報能力可以準確描繪出業務風險全景圖，站在外部的視角從海量業務流量中過濾出可疑流量，避免了利用規則和頻次無法識別的隱藏在合法業務請求中的風險；另一方面情報還能對識別出的風險能給出具體的攻擊團伙以及攻擊者的攻擊方法，這樣不僅保障了識別風險的準確度，也讓風控變得具備可解釋性，也為下一步的打擊追責提供有利支撐”邵付東在介紹技術路徑選擇時表示。