API(Application Programming Interface,应用程序编程接口)作为连接服务和传输数据的重要通道,已然从简单的接口转变为IT架构,成为数字时代的新型基础设施。根据Akamai的一项统计,API请求已占所有应用请求的83%,预计2024年API请求命中数将达到42万亿次。
但API安全威胁却比API调用增长更迅猛
因性质使然,API会暴露应用程序逻辑和个人身份信息(PII)等敏感数据,也正因为如此,API逐渐成为恶意攻击者的首选目标,并通过非法控制和使用API接口窃取数据等。
近年来,API安全隐患已经造成过大量影响广泛的社会性事件。例如,Facebook 2020年因API漏洞致使一个存有2亿余条记录的数据库被公开;微博2020年因APP的业务逻辑API被非法流量调用,导致3.5亿数据泄露;Instagram 2018年由于其API存在漏洞,让黑客非法获取到许多高知名度用户的电话号码和电子邮件。
这些事件促使API安全问题得到越来越多的关注。OWASP公布了排名前10的APl安全威胁,包含API接口鉴权失效、敏感信息展示不当、过度的数据暴露、第三方通过API违规留存数据等风险。Salt Labs 最新发布的一份报告显示,在过去六个月中,API 攻击出现了前所未有的激增,每月API调用率增长了141%,而恶意流量增长了348%。Gartner直接预测,到2022年,API滥用将是最常见的攻击方式。
API安全问题为何会如此严重?
星阑科技CEO王郁曾在相关演讲中解释,每一种新技术的使用,都会产生崭新的攻击面,从而带来安全管理和安全技术的问题。而API面临的环境比传统Web安全更为复杂,不仅需要保障API服务及其运行环境的安全,在API的请求发起端还有相应的客户端及应用程序,同时API连接了广泛的IoT设备,其通信环境相当复杂。而且,API生态的多方性将导致安全责任分配不清,无人监管。
由于业务交互、数据交互、人机交互、数据流转、三方合作生态、云原生体系都是运行在API上,因此,API安全其实是交叉方向上的新生复杂安全问题,是API经济背景下各方面安全风险与能力的汇总。
细数API安全防御实践
为了提高API安全性,根据OWASP提出的API威胁,需实施的防护措施应包含有效的身份认证、可控的访问授权、针对特定数据返回结果的筛选、访问异常行为检测及响应等等。
在工具方面,API安全网关是多数企业习惯选择保护API安全的手段。API安全网关可以利用流量过滤以及监控等方式对入侵进行检测并防止黑客攻击,在国内市场,派拉软件、瑞数信息、白山云科技等安全厂商均有相关产品推出。
派拉软件API安全网关平台产品架构
瑞数信息API安全管控平台
白山云API网关应用于原有系统优化
与此同时,国内也已经涌现专注于API安全赛道的专攻型厂商。聚焦于该领域的星阑科技认为,面对复杂又具有交叉性的API安全问题,解决方案将会是一个多层的结构,包括API网关在最外层解决访问控制、通信加密的问题,中间层解决相关防火墙的问题,以及内层对数据流程管控、业务流程分析、复杂场景人机交互识别和异常检测等。
其推出的API-Intelligence安全分析平台采用大数据分析+异步实时阻断的方式,提供全景化API识别、API高级威胁检测、复杂行为分析等能力,构建API Runtime Protection体系。
星阑科技API-Intelligence安全分析平台
综合型厂商也不乏布局API安全的身影。安恒信息借鉴零信任思想,推出以API安全管控系统为核心的API安全防护解决方案,在不改造现网API的情况下为API提供安全防护能力。
利用可信身份鉴别、权限管控、接口访问监控、接口数据脱敏、流量管控、国密算法等核心技术,通过为访问API的用户、应用系统构建统一的可信数字身份,保护API不受未认证、未授权访问及中间人攻击,并实现对API违规访问行为的检测预警,最大程度降低潜在的共享数据泄露风险。
安恒信息API安全防护解决方案
新时代下的新机遇
API安全问题日益突出,正在让这个常见但又还不为人熟知的安全挑战成为一片新的蓝海市场。关于API安全的市场及未来,据苹果资本创始人胡洪涛介绍,目前API管理的全球市场已经达到10亿美金,根据Adroit市场报告显示,到2028年API管理市场总规模216.8亿美金,其中API安全占了30%, 所以无论是国内还是国外,API安全的市场都具有无限的潜力。
在未来,实现全链条的API调用跟踪,利用大数据和AI的方法来解决API的问题也将是未来的必然趋势。很多API通信标准,例如RESTful API,已经在物联网、微服务、云原生等场景都得到了非常广阔的应用。
京公网安备 11010802033237号
