? ? ? ?API承擔著連接服務和傳輸數據的重任，在通信、政務、金融、交通等諸多領域得到廣泛應用。API涉及包含敏感信息、重要數據在內的數據傳輸和操作、各種業務策略的制定環節等，數據敏感程度不一，API安全管理面臨巨大壓力。近年來，API更是呈現爆炸式增長。據Akamai說，API通信現在占所有互聯網流量的83％以上。

? ? ? ?1?推動API增長井噴的因素：低代碼、微服務和生態建設

? ? ? ?Swagger、SoapUI和Open API Initiative的贊助商SmartBear第三次發布了有關全球API趨勢的年度報告。顯見，全球大流行和不斷發展的API已顯著影響團隊經驗。他們到底如何實現數字化轉型？這是API開發人員、架構師、測試人員和產品潛在客戶的焦點。

? ? ? ?SmartBear報告告訴我們，目前，API的創建在IT服務和咨詢、金融服務、計算機硬件和軟件這三個領域是處于領先地位的，他們分別占到28%、14%和13%。電信、公用事業、零售、醫療、制造業等也加速API的構建，以其提供建立數據和應用之間的數字橋梁、改善客戶體驗、加速營運數字化和數字化轉型等等。推動API應用快速井噴的因素，我認為主要有三個：低代碼、微服務和生態建設。

? ? ? ?首先，由于代碼復雜性是大量公司需要解決的一個障礙，低代碼解決方案加速了API創建的友好性。目前。恐怕有超過50％的應用依靠API技術，如果不深入研究API等數字技術，就很難成為一家具有競爭力數據運營商。

SmartBear報告還告訴我們，API的主要動機是在團隊、工具和系統之間的內部集成、產品或服務中擴展功能、建立生態、減少成本和時間。API已然成為提高公司利潤的一種方法。

其次，軟件系統的微服務架構促進了功能開發、整體靈活性和開發速度。微服務成為推動最短期的API增長，遠高于其他替代方案。一方面，微服務架構越來越成為后端開發的標準，另一方面，微服務也成為構建未來復雜系統的標準。

? ? ? ?再次，生態建設促使數據中心和平臺考慮開放的共享API，以其獲得更多的開發者和創業公司的追隨，從而獲得統一環境的生態體系。對于所有開發者來說，公共API和類似的在線目的地都是非凡的資源。

? ? ? ?現如今，API保持強勁并以驚人的速度在增長，建立具有凝聚力的數據共享交換的數字景觀可能根本不是夢寐以求的事情。

? ? ? ?2?所有的饋贈都在暗地里標好了價格，API成為組織數據泄密的重大渠道

? ? ? ?數據中心、數據大集中是大數據發展過程中一個偉大的舉措，也為平臺建設者、運營者和數據運營者成為商業霸主創造了巨大的優勢，并且為各類應用、數據運營、數據共享帶來了巨大的收入。

? ? ? ?API是平臺和數據共享中非常重要的技術通道，是數字化轉型的基礎，它供開發者、應用程序接入平臺并訪問平臺和數據中心上的數據，數據得以全面的流動并產生價值。但同時也提供了訪問公司數據的多種途徑，成為諸多安全問題的根源所在。

? ? ? ?API允許輕松地機器對機器通信，開發者不用再從無到有自己構建所有功能，可以加快新產品及服務的開發過程。但是，API的安全卻成為了一個很多人都不知道的話題。

? ? ? ?所有的饋贈都在暗地里標好了價格。API助力的數據流動同樣也標好了價格，有價格就會有付出，早晚而已。降低付出的唯一途徑就是加強API的數據流轉安全的監控和防范，別無二法，更無偷懶的捷徑！

? ? ? ?2021年5月，Pen Test Partners安全研究員Jan Masters發現，他竟然能夠在未經身份驗證的情況下，向Peloton的官方API提出可獲取其它用戶私人數據的請求，且用戶的本地設備和云端服務器都如此不設防。這些數據中包括了詳細的用戶年齡、性別、城市、體重、鍛煉統計數據，甚至可揭示用戶在個人資料設置頁面中設為私密的生日等信息。

? ? ? ?由于API漏洞或安全管理疏漏導致的數據安全事件近年來越來越多，而且很多事件的影響范圍很大，對相關企業和用戶造成了嚴重損害。圖一例舉了幾個比較著名且影響較大的API安全事件。

圖一?近年來因API漏洞或安全管理疏漏導致的數據泄密事件頻繁

? ? ? ?這些事件給部分企業敲響了警鐘，已經開始了積部署API安全策略和工具來應對日益嚴峻的安全形勢。遺憾的是，還有更多的組織至今還沒意識到增長的API正在成為組織數據安全的重大隱患。

? ? ? ?除了圖一的典型API安全問題的例子外，Peloton、Equifax、Instagram、Facebook、Amazon、Paypal、Panera、Fiserv、LifeLock以及Kay Jewelers等都發生過涉及API相關的安全問題。

? ? ? ?上面列出的問題可能大多涉及的是：在啟動Web服務和設置API變得更加容易的同時，API的安全性變得滯后。

? ? ? ?事實上，即使開發人員都開始采用新的安全控制（實際上不可能），仍然可能存在老舊的系統。老舊系統中過時的僵尸API依然會帶來了巨大的安全風險，

? ? ? ?另外，不少原計劃只做短期使用卻未及時退役的API也將給數據安全帶來很大的風險。

? ? ? ?沒有人可以保護自己并不知道的東西！我們必須清楚地知道自己擁有什么才能保護它，這是頭等大事。此外，我們希望API安全防護能提供API可視化的大量信息，而API網關似乎不能很好地解決。華云數創科技有一個客戶，過去一直采用AWS API網關來處理API的安全問題，他們嘗試了很多方法，但都不如人意。

? ? ? ?經過與華云數創科技的溝通，他們發現“API接口數據流轉監控與風險評估”解決方案是一種易于部署且不會妨礙開發、管理、使用團隊的技術。

? ? ? ?他們原本計劃2022年再將原系統集成到華云數創科技的解決方案中，但是最終還是將計劃提前到了2021了。他們告訴我的原因是：他們越來越發現API的攻擊面正在面臨危險，他們擔心惡意行為者也發現了這些攻擊面，甚至是很多他們沒有看到的并不知道的攻擊面，他們沒有時間去冒險了。

圖二?華云數創（北京）科技有限公司之“API接口數據流轉監控與風險評估”系統

? ? ? ?該華云數創的解決方案在API網關處偵聽流量、獲取日志和元數據，并將報告發送到“API接口數據流轉監控與風險評估”解決方案的儀表板以進行警報和報告，這使得他們獲得了很好的API安全可見性。該系統可自動觸發動作，可以發送報告供安全人員手動查看，可以做合規的自查自測，還可以查找潛在的API泄漏，還可以捕獲API是否提供了并非必要的信息等等。“API是否提供了并非必要的信息”，這一點是數據共享交換中特別需要注意和牢記的。

? ? ? ?3?數據風險管控不只是防御，更重要的是保護數據資產價值

? ? ? ?Salt Security的報告顯示：1、有91％的組織存在與API相關的安全問題。最常見的是漏洞（54%）、身份驗證問題（46%）、僵尸程序（20%）以及拒絕服務（19%）。2、80％的組織認為他們的安全工具不能有效地防止API攻擊。3、三分之二的組織由于與API安全相關的擔憂而減緩了將新應用程序投入生產的速度。4、即便是擁有Web應用程序防火墻（WAF）和API網關的所有Salt客戶，每個月也都要經歷多次API攻擊，這就意味著這些安全工具已經阻止不了API攻擊。5、WAF和API網關甚至已經阻擋不住OWASP AP安全Top10威脅中90%的因素。6、超過四分之一的組織正在沒有任何安全策略的情況下運行基于關鍵API的關鍵應用程序。7、82％的組織對了解API詳細信息缺乏信心。例如，API是否包含個人身份信息，客戶專有網絡信息等。8、22％的組織表示他們無法知道哪些API公開了敏感數據。傳統的前端應用程序（網站和移動應用程序）具有針對攻擊者的保護措施，其中包括針對DDoS、憑據填充和其他自動攻擊的防御，但如果API不受保護的話，同樣會危及前端安全。通過API獲取數據的攻擊越來越受到黑客的歡迎，因為這種攻擊更加匿名，而且API的保護程度通常不及網站和移動應用程序，機器人對API的攻擊更是普及。不少企業認為他們的技術能提供適當的保護，而實際上他們使用的工具本身并沒有準備好應對挑戰，甚至，如今的API安全性就如同2009年之前的應用程序安全性。好消息是：人工智能可助力抵御這種情況。

圖三?API接口安全防護的難點

? ? ? ?如今，通過華云數創科技團隊的協作和努力，將人工智能和機器學習等融入數據安全防護，其“API接口數據流轉監控與風險評估”解決方案，通過對API訪問風險及數據傳輸風險進行持續監測，全面評估業務系統、數據接口、數據分類的數據安全風險態勢，面向API安全風險，彌補和解決了WAF和API網關方案的不足。讀者有興趣可以參見我們的以下兩篇文章：

? ? ? ?API成為攻擊者眼中的密鑰，數據中心如何正面應戰？

? ? ? ?是時候解決信息孤島問題了，聊聊SDK和API

? ? ? ?通過華云數創科技的工具可以實現“讓每一個人都能成為安全團隊的成員”的目的。幫助組織實現通過工具、自動化、掃描技術和遙測監視的愿望，確定API的調用方式，并尋找出可能表明惡意濫用的異常行為。從多維度進行態勢分析和問題呈現，包括依法治理、數據收集、超范圍收集、隱私政策、API梳理、敏感數據流、敏感數據映射等等，確保數據通過API接口共享流轉過程中的安全合規！

? ? ? ?4?結束語

? ? ? ?目前API安全事件層出不窮，無論組織現在處于API優先使用還是剛剛開始API輔助的數字化轉型階段，了解并重視API的漏洞及相關風險都是直觀重要的。做好API數據流轉的安全監控與風險評估管理，既是政策、法律、法規、合規的要求，也是企業自身利益的要求，我們已經沒有太多的時間去等待了，因為API的風險敞口已經打開，API的攻擊面正在迅速的變大再變大。