2022年API成为恶意攻击首选，企业如何保护API安全？

　　随着云计算、移动互联网、物联网的蓬勃发展，越来越多的应用开发深度依赖于API之间的相互调用。特别是疫情常态化后，协同办公、在线教育、直播短视频等线上应用蓬勃发展，API在其中既能够起到连接服务的功能，又可以用来传输数据，随着API的绝对数量持续增长，通过API传递的数据量也飞速增长。据瑞数信息《2021Bots自动化威胁报告》显示，作为一种轻量化的技术，API在全球范围内受到企业组织的高度青睐，应用接口呈现爆发式增长。相比2019年，2020年API流量同比增长2。8倍，44的企业正在建造和维护100个或更多的API。
　　与此同时，API也正成为攻击者重点光顾的目标。据SaltSecurity《StateofAPISecurityReport，Q32021》报告显示，2021年上半年，整体API流量增长了141，API攻击流量则增长了348，针对API的攻击流量正在以普通API流量的3倍速度增长。报告还发现，安全问题在API项目关注的名单中名列前茅，很少有受访者认为他们有信心识别和阻止API攻击。
　　这是由于API的广泛使用和链接为恶意攻击者提供了广阔的攻击面，一旦成功攻击API，就能获取大量企业核心业务逻辑和敏感数据。除此之外，很多企业并不清楚自己拥有多少API，也并不能保证每个API都具有良好的访问控制，被遗忘的影子API和僵尸API，为攻击者提供了唾手可得的机会。相对于传统Web窗体，攻击API的成本更低、价值更高。
　　正因如此，2021年发生了很多重量级的API攻击事件，引发了社会各界的广泛关注，例如：黑客通过API漏洞入侵了7亿多Linkedln用户的数据，并在暗网上出售这些数据；黑客攻击Parler网站的API安全漏洞，非法获得1000万用户超过60TB的数据；Clubhouse因API安全漏洞泄露了130万条用户记录。
　　可以预见，2022年针对API的攻击将成为恶意攻击者的首选，越来越多的黑客利用API窃取敏感数据并进行业务欺诈，为API构建安全防护体系已势在必行。
　　新兴网络威胁下，传统API网关局限性凸显
　　一个严峻的事实是，API发展到现在，授权认证体系已经比较完善，但是在授权之后访问的控制相对薄弱。管控的颗粒度因API接口业务需要而不同，在带来访问便利的同时，也可能被恶意利用，带来信息泄漏和被滥用的风险。API设计之初就是为程序调用准备的，天然是工具行为，利用自动化工具通过合法授权下的API滥用，已成为API攻击的难题。从API的提供方角度，为使用和管理的方便，过度的API开放和宽泛的API调用参数返回，既可能被恶意利用，也可能无形中造成信息泄漏和被滥用的风险。因此传统API安全网关提供的身份认证、权限管控、速率限制、请求内容校验等安全机制几乎无用武之地。
　　例如，身份认证机制可能存在单因素认证、无口令强度要求、密码明文传输等安全隐患，而访问授权机制风险通常表现为用户权限大于其实际所需权限。同时，即使建立了身份认证、访问授权、敏感数据保护等机制，有时仍无法避免攻击者以机器模拟正常用户行为、运用大量代理IP进行大规模攻击等多种方式来避免速率限制。
　　在如今互联网的开放场景下，API的应用和部署面向个人、企业、组织机构等不同用户群，是外部网络攻击的主要对象之一，因此更需时刻警惕外部安全威胁。针对API的常见网络攻击包括：重放攻击、DDoS攻击、注入攻击、会话cookie篡改、中间人攻击、内容篡改、参数篡改等，这些新型的安全威胁正在变得更加复杂化、多样化、隐蔽化、自动化。
　　然而，随着API访问环境的愈发开放、API数量的极速攀升，以及API本身的快速变化，早期的防护技术，如基于规则的传统WAF防护技术、API网关的身份认证和鉴权技术，已经无法满足现有对于API接口被滥用、越权访问、僵尸API、信息泄漏等安全问题的防护需求，新一代基于动态技术、Bots识别、行为分析的融合防护体系逐步兴起。
　　瑞数API安全管控平台助力企业打赢API保卫战
　　有别于很多从API安全网关角度切入的安全厂商，瑞数信息以AI人工智能为支撑的行为分析技术作为突破口，推出一种新兴API融合防护方案瑞数API安全管控平台（APIBotDefender），集成了API资产发现、攻击检测、参数合规检测、行为检测、敏感数据识别、异常行为拦截处置等功能，覆盖了从资产发现到拦截处置的全链条。
　　具体而言，瑞数API安全管控平台（APIBotDefender）包括API资产管理、攻击防护、敏感数据管控和访问行为管控四大模块，每个模块可以独立工作，也可以协同工作，为API接口提供完整的安全管控方案。
　　API资产管理
　　由于API数量增长太快，很多企业都不清楚自己拥有多少个API，以及API处于什么样的状态。如果没有深度的API资产梳理，安全团队根本无法了解企业API的真实资产情况，也无法预估数据暴露的风险。
　　因此，瑞数信息引入API资产管理，通过对访问流量进行分析，自动发现流量中的API接口，对API接口进行自动识别、梳理和分组。同时，通过从API网关上获取API注册数据，与API资产进行对比，从而发现未知API接口。API攻击防护
　　通过自动化、多样化的API网络攻击，黑客不仅可以达到消耗系统资源、中断服务的目的，还可以通过逆向工程，掌握API应用、部署情况，并监听未加密数据传输，窃取企业数据。
　　对此，瑞数信息综合利用智能规则匹配及行为分析的智能威胁检测引擎，持续监控并分析流量行为，有效检测威胁攻击。智能威胁检测引擎能在用户与应用程序交互的过程中收集数据，并利用统计模型来确定HTTP请求的异常。一旦确定异常情况，智能引擎就会使用机器学习获得的多种威胁模型来确定异常攻击，并对安全攻击进行实时防护。同时，对API请求参数进行合规管控，对不符合规范的请求参数实时管控。敏感数据管控
　　如果企业未对敏感信息等数据进行脱敏处理，且未加密传输，一旦流量被截获、破解，将对企业、公民个人权益造成严重影响。此外，未脱敏数据在传输至前端时，如被接收方终端缓存，也可能导致敏感数据暴露。
　　瑞数API安全管控平台（APIBotDefender）因此会对API传输中，诸如手机号、银行卡号、身份证号等的敏感数据进行识别和过滤，并可以针对敏感数据进行脱敏或者实时拦截，规避数据安全风险。访问行为管控模块
　　如今API攻击多以合法身份登录后，模拟正常操作、多源低频请求，因此企业很难察觉访问行为是否异常。
　　瑞数API安全管控平台（APIBotDefender）通过建立多维度访问基线和API威胁建模，对API接口的访问行为进行监控和分析。一方面，监控基线偏离状况，针对高频情况等进行防护，防止高频情况等造成的API性能瓶颈；另一方面，高效识别异常访问行为，避免恶意访问造成的业务损失。
　　同时，为了防止非法API调用，瑞数API安全管控平台（APIBotDefender）通过从API网关上获取API认证和鉴权数据，防止未授权的API调用，保障API接口只能被合法用户访问。
　　总体而言，相较于传统API安全方案，瑞数API安全管控平台（APIBotDefender）着重强调API安全防护能力的提升，以行为分析为基础实现从API接入客户端到API服务器端的全程式API安全威胁防护，其优势也十分明显：
　　API全自动发现
　　瑞数API安全管控平台（APIBotDefender）的Discover发现模块，可以快速自动地发现API，并且针对发现的API给出明确的认定；同时，显示出清晰的API列表，对API接口的访问情况一目了然。构建API画像
　　瑞数API安全管控平台（APIBotDefender），采用全程式安全威胁防护技术，从而利于精准地构建API画像；通过API画像，可以快速预览各个业务的API情况，包括使用情况、异常情况、访问来源等。API全渠道感知
　　提供各种SDK，方便与各类API来源应用进行集成，可以对来源环境和用户行为进行感知。动态响应防护
　　可根据行为分析的结果或指定条件，进行动态响应防护，提升通过逆向探测或机器学习分析等攻击手段的难度。
　　此外，瑞数API安全管控平台（APIBotDefender）的部署方式非常灵活，支持软件、硬件和云的方式进行部署，可以大大降低部署、管理和维护成本。同时，占用资源少，不影响服务器的正常运行，可以实现应用无感知部署。
　　目前，瑞数信息凭借其突出的技术实力和防护能力，其产品在金融、政府、运营商三大行业得到了成功应用，瑞数API安全管控解决方案更荣获2021金融业新技术应用创新突出贡献奖，表明了行业客户对瑞数技术创新能力和优异应用效果的充分认可。在API安全日益重要的今天，如瑞数APIBotDefender这类具备先进防护策略和创新技术的API安全产品，可以更好地帮助企业应对未知威胁、安全管控API，保证业务的正常高效运转。