萬物互聯的數字時代，API 在應用環境中變得越來越普遍，通過 API 可以快速構建產品和服務，并迅速響應客戶的需求，它已成為數字化企業的必備技能。尤其在后疫情時代，遠程辦公、線上教學等線上應用迅速發展，作為一種能夠支撐線上應用連接和數據傳輸重任的輕量化技術，API 已無處不在。與此同時，API 承載著企業核心業務邏輯以及敏感數據，因此成為網絡犯罪分子的重點攻擊目標。

API 安全事件頻發

近年來，由于API的高速發展以及業務增速和安全的不對位，因此API安全問題導致的數據泄露事件頻發。例如：

• 2021年4月Facebook5億用戶數據泄漏，根據暗網上公布的數據截圖，涉及到用戶的昵稱，郵箱，電話，家庭住址的信息判斷，為業務接口泄漏。
• 2021年6月，根據裁判文書網公開的判決案例顯示，犯罪嫌疑人逯某通過某寶業務接口開發的爬蟲軟件獲取了用戶id，昵稱，電話號碼等信息11億條。
• 2021年12月，國內某證券公司的客戶信息數據，包括：用戶姓名、手機號、開戶時間、交易情況等敏感數據，以每日1萬多條的量級在數據交易平臺被售賣。經驗證分析，證實為內部系統數據API管控疏忽導致。

至于為何企業會持續不斷的發生類似問題？首先，企業的業務迭代速度越來越快，對線上業務的API管理難度增加；此外，對于企業的安全團隊來說，線上業務的風險管理不單單是技術問題，需要業務方有足夠的主動配合意愿；另外，當黑灰產已經開始以業務風險為主要攻擊平面的時候，企業對業務安全的意識不夠，需要時間來轉換。

API 安全風險加劇 

據《2021年中國互聯網安全報告》數據顯示，2021年針對API業務的攻擊達到147.98億次，同比增長超過200%。此外，針對API業務的攻擊手段類型整體趨于多樣化。 

Gartner 曾預測:“到 2022 年，API 濫用將從原本頻率較低的攻擊類型變為導致企業 Web 應用程序數據泄露的最常見攻擊媒介。” 

果不其然，根據研究部門 Salt Labs 發布的《2022年第一季度 API 安全狀況報告》顯示，過去一年，惡意 API 流量增加了 681%，有 95% 的企業都經歷了 API 安全事件，而且大多數企業并沒有準備好應對這些挑戰，還有 34% 的企業沒有 API 安全策略。

Karma 情報平臺通過捕捉到的 API 自動化攻擊工具和攻擊流量對近期的API安全風險態勢進行了分析：

• 網絡攻擊持續高發，API攻擊量月均超25萬；
• 營銷作弊仍是主要的API攻擊場景，數字藏品被攻擊熱度依舊高漲；
• 惡意爬蟲針對API進行破解和偽造，房源、招聘等信息成重點爬取對象；
• 利用API非法竊取數據，數字政務成為重點攻擊目標。

API存在安全缺陷是導致API攻擊的主要原因。據永安在線《API安全研究報告》顯示，未授權訪問、允許弱密碼、錯誤提示不合理以及云服務配置錯誤是近期需要引起重視的四類API安全缺陷。

其實，API漏洞與Web漏洞大同小異，API 調用能更容易、更快速地實現自動化，這是其設計使然，可也是一把雙刃劍，不但方便了開發人員，同時也方便了攻擊者。

API 安全性建議

Akamai 在其發布的《互聯網現狀/安全性》報告中建議了幾項 API 安全性的最佳做法:  

1. 發現您的 API 并對它們進行逐一盤點跟蹤。許多企業都遭遇過他們毫不知情的 API 所引發的事件。因此，了解 API 的位置及其用途至關重要。與此相關的還有企業使用的外部 API。這些 API 也需要得到識別和保護，或者至少被登記為潛在的風險項目并得到評估。

2. 一旦確定所有 API 的位置，您就要對它們進行測試并了解其中存在哪些漏洞。這不僅需要測試工具和扎實的開發人員培訓，也需要與現有安全團隊緊密合作。另外還需要針對風險承受能力進行探討，并制定計劃以盡早修復漏洞。首先確定是否存在硬編碼密鑰、邏輯調用，并了解 API 流量是否會受到冒充攻擊的影響。還有一個好辦法就是掃描存儲和代碼庫以查找可用于破壞 API 或與其相關的任何內容的密鑰。

3. 在開發和發布期間，充分利用現有的 WAF 基礎架構、任何身份管理和數據保護解決方案，以及任何專門的 API 安全工具。此外，確保 API 安全性是一項長期工作，而不是開發過程中的一次性任務。新的漏洞和攻擊源源不斷，一次性檢查只會讓攻擊面暴露在風險之中。

4. 在 API 策略方面，盡量避免為每種 API 使用唯一的策略，而是偏向于可以重用的一攬子策略。此外，不要將策略直接編碼到需要保護的 API 中。這樣做違反了職責分離機制，增加了不必要的復雜性，也額外加重了維護代碼的人員的管理負擔，并造成安全團隊缺乏可見性。有一條有效的經驗法則，就是將任何資源的默認訪問級別設置為空值或拒絕。這會強制執行最小特權，并使身份驗證成為一項持續要求。

5. 在某種層面上，API 開發需要各種利益相關者的參與。其中包括開發團隊、網絡與安全運營團隊、身份相關團隊(如果他們不屬于運營團隊)、風險管理師、安全架構師，以及法律/合規團隊(以確保產品遵守所有治理和監管法律)。

如今，針對API的攻擊逐漸成為惡意攻擊者的首選，將有越來越多的攻擊者利用API竊取敏感數據并進行業務欺詐，API作為數字時代應用服務化的關鍵技術支撐，為其構建健全的安全防護體系已勢在必行。?