永安在線發布《API安全建設白皮書》，提出API全生命周期安全防護模型

隨著數字化轉型加速，越來越多的企業將應用和數據遷移至線上或云端，并暴露核心業務能力和流程相關的API為外部合作伙伴提供服務。脫離了傳統的內網或網絡區域劃分，線上或云上應用的開發和集成、云端管理API，被潛在的商業合作伙伴及攻擊者使用，無形中使得API安全風險增大。

近日，永安在線發布《API安全建設白皮書》（以下簡稱“白皮書”），對API安全的背景、API定義及其發展過程中面臨的安全挑戰進行介紹，并圍繞API從設計、開發、測試、上線運行、迭代到下線的每個環節，提出基于實戰化角度的API全生命周期安全防護模型，旨在幫助企業將安全落實到API生命周期的各個環節，進而構建具有更好可見性和可控性的API安全防護體系。

API承載著應用程序的邏輯和敏感數據，易受攻擊

API在數字化轉型中扮演的角色越來越重要，通過API來進行數據交換和實現業務邏輯成為最常見的方式。白皮書指出，從銀行、零售、運輸到物聯網、自動駕駛汽車和智慧城市，API是現代移動端、SaaS和Web應?程序的關鍵部分，企業在面向客戶、面向合作伙伴和機構內部的應?程序中隨處可見API的使?。

從本質上講，API暴露了應?程序的邏輯和敏感數據，如個?身份信息。然而，現階段API應用的增速與API安全發展的不平衡，使得API成為了企業安全建設中最薄弱的環節之一，也因此成為攻擊者的重點攻擊對象。近些年因API安全問題導致的數據泄漏事件卻頻頻發生，可以看到API安全是一個常見但似乎又不為人熟知的挑戰。

據Gartner提供的數據顯示，到2025年，由于API的爆炸式增長超過了API管理工具的能力，將有50%的企業出現API安全防護缺位。近期Approov和Osterman出品的《2022 年移動應用安全狀況》報告顯示，針對APP和API的威脅，安全開發實踐必不可少，但僅提供部分保護，需要加強運行時威脅防護，調研數據顯示有3/5的企業缺乏對針對APP和API的?系列運行時威脅的可見性。

API防護缺失已成為企業業務和數據安全最大風險敞口

白皮書提到，由于API防護的缺失，企業對外暴露了哪些API、對誰開放API、API通信中哪些敏感數據在流動等問題都未得到應有的重視。攻擊者可以通過API認證和授權漏洞、數據過度暴露、數據可遍歷、安全配置缺陷等攻擊API進行數據竊取和業務攻擊。

API是需要開放給用戶來使用的，具備開放性和承載業務邏輯的特點，攻擊者可以和正常用戶一樣來調用API，導致攻擊者的流量隱藏在正常用戶的流量里面，其攻擊行為會更加隱蔽，更難發現。

白皮書列舉了一些常見的API攻擊行為，如動態代理IP低頻爬蟲行為。如果企業的API有頻率限制和反爬策略，攻擊者會還會利用大量的動態代理IP，低頻慢速的方式來繞過現有的防御措施，遍歷爬取數據、進行惡意注冊或者營銷作弊。

API全生命周期安全防護是企業安全建設的必要措施

白皮書指出，針對API存在威脅防護，使用WAF類產品只能覆蓋其中的一小部分威脅，對業務而言，從單點考慮API功能安全設計到通過對API生命周期來考慮API的安全，圍繞設計、開發、測試、上線運行、迭代到下線的每一個環節加強安全建設就更加有必要。全生命周期來考慮API的安全性，通過安全左移方法和工具，綜合性地融合管理手段和技術手段進行API安全治理，提高業務API的整體的安全性。

圍繞API全生命周期進行安全的設計和運營，需要企業的各個角色參與進來，投入的工作量是極大的。相比產品和研發人員，安全人員的占比很小，企業可根據自己的業務情況來調整在不同環節的投入情況。

為了追求高效的防御，白皮書建議從API的上線運行階段入手，基于風險情報對API的流量進行分析，持續實現API和數據資產的梳理、漏洞的檢測、攻擊威脅的檢測，一方面可以摸底清楚資產的情況，一方面可以及時預警風險并止損，從而給到安全人員有更多的戰略時空資源來進行安全左移建設，逐漸實現API全生命周期的防護。