API（应用程序编程接口）在现代软件开发中占据着重要地位。API 推动了应用程序、容器和微服务之间的数据和信息交换，彻底改变了 Web 应用的工作方式，催生了大量数字商业模式，因此 API 也被喻为数字经济的 “交换机”。

尽管 API 有无数的好处，但黑客也可以利用 API 中的漏洞未经授权访问敏感数据和隐私数据，从而导致数据泄露、财务损失和声誉受损。因此，企业需要了解 API 安全威胁形势，并寻找缓解威胁的最佳方法。

API 攻击暴增 400%

API 支持应用程序和系统之间的数据交换，能够无缝执行复杂任务，但随着 API 平均数量的增加，组织往往会忽视它们的漏洞，从而成为黑客的主要目标。根据 SaltSecurity 的《2023 年第一季度 API 安全状况报告》调查结果，在过去六个月中，针对 API 的攻击增加了 400%。

API 中的安全漏洞会危及关键系统，导致未经授权的访问和数据泄露，例如 Twitter 和 OptusAPI 的泄露。网络犯罪分子可以利用这些漏洞发起各种攻击，例如身份验证攻击、分布式拒绝服务攻击 (DDoS) 和恶意软件攻击。API 安全已成为一个重要的业务问题，另一份报告显示，到 2023 年，API 滥用将成为导致数据泄露的最常见攻击媒介，而且 50% 的数据盗窃事件与不安全的 API 有关。因此，API 安全性成为企业保护数据的首要任务，每年给企业造成高达 750 亿美元的损失。

2023 年六大 API 安全威胁

对于大多数企业来说，保护 API 一直是一项艰巨的任务，主要是因为 API 内的配置错误以及云数据泄露的增加。随着安全形势的发展，API 蔓延成为对 API 安全构成威胁的首要原因。API 蔓延是指 API 在整个组织中不受控制地扩散，对于拥有多个应用程序、服务和开发团队的企业来说，这是一个常见问题。

随着 API 数量的增长，攻击面也在不断扩大，成为对黑客颇有吸引力的目标。问题在于 API 的设计并不总是考虑到安全标准。这会导致缺乏授权和身份验证，从而暴露个人身份信息 (PII) 或其他业务数据等敏感数据。

企业最关注的六个 API 安全威胁

API 蔓延产生影子 API 和僵尸 API，进一步威胁 API 安全。僵尸 API 是暴露的、废弃的、过时的或被遗忘的 API，它增加了 API 安全威胁。当组织致力于开发新产品或功能时，他们经常会忽略在应用程序环境中 “游荡” 的僵尸 API，从而使攻击者能够渗透易受攻击的 API 并访问敏感数据。

与僵尸 API 不同，影子 API 通常是第三方 API，是在没有适当监控的情况下开发的，且未被跟踪和记录的 API。影子 API 会给企业带来可靠性问题、不必要的数据丢失、违规处罚以及运营成本增加。

此外，物联网（IoT）等新技术的出现给维护 API 安全带来了更大的难度。随着越来越多的设备连接到互联网并可以远程访问，任何不充分的安全措施都可能导致未经授权的访问和潜在的数据泄露。此外，生成式人工智能算法可能会带来安全挑战。黑客可以利用人工智能算法来检测 API 中的漏洞并发起有针对性的攻击。

提高 API 安全的五大最佳实践

API 安全已成为企业网络安全的重要关注点，需要采用整体网络安全方法来缓解威胁和漏洞。开发人员和安全团队必须通力协作实施以下五大最佳实践，以提高 API 安全性：

发现所有 API

API 发现对于发现僵尸 API 和影子 API 等现代 API 安全威胁至关重要。安全团队接受过保护关键任务 API 的培训，但发现内部、外部和第三方 API 对于增强 API 安全性也至关重要。企业需要投资自动化 API 发现工具，以检测每个 API 端点，并提供对 API 状态、位置和运行状况的可见性。

开发人员还应该通过集成 API 网关和代理来监控 API 流量，这有助于发现影子 API。此外，安全团队需要创建定义如何记录、使用和管理 API 的策略，这将有助于进一步定位未知或易受攻击的 API。

测试评估所有 API

随着 API 安全威胁变得越来越普遍，安全团队不能依赖通用的测试方法。他们需要采用高级的安全测试方法，例如 SAST（静态应用程序安全测试）。它是一种白盒安全测试方法，可以识别源代码中的漏洞并修复安全缺陷。向开发人员提供即时反馈使他们能够编写更加安全的代码，开发更加安全的应用程序。但是，由于 SAST 测试无法检测代码外部的漏洞，因此安全团队可以考虑同时使用其他安全测试工具（例如 DAST、IAST 或 XDR）来提高安全标准。

采用零信任安全框架

用户必须经过授权和身份验证才能访问数据，这种方式在减少攻击面方面发挥着至关重要的作用。此外，利用零信任架构 (ZTA) 可以将 API 分为更小的单元，拥有自己的一组身份验证、授权和安全策略。这使安全架构师能够更好地控制 API 访问并增强 API 安全性。

实施 API 状态管理

API 状态管理是帮助组织检测、监控和最大程度地减少由于易受攻击的 API 造成的潜在安全威胁的另一种好方法。各种状态管理工具持续监控 API 并通知有关可疑或未经授权的活动。这使组织能够迅速响应 API 安全威胁并减少攻击面。

API 状态管理工具还能执行定期漏洞评估，扫描 API 是否存在安全缺陷，从而使组织能够采取措施加强 API 安全性。除此之外，这些工具还提供 API 审核功能，确保遵守行业法规以及其他内部政策，保持透明度并最大限度地提高整体安全标准。

实施 API 威胁防御

提高 API 安全性是一项持续的任务。因此，无论监控和安全政策多么强大，威胁仍然可能出现。这就需要实施主动的 API 威胁预防措施，以识别和缓解对业务产生不利影响的潜在 API 威胁。

API 威胁预防包括使用专门的安全解决方案和技术，例如威胁建模、行为分析、漏洞扫描、事件响应和报告。此外，通过持续监控、加密或身份验证机制以及 API 速率限制，组织可以避免数据泄露并确保业务运营不间断。

API 选型的六个基准问题

随着 API 数量和采用率的不断增长，企业的 API 安全面临着重大挑战，经常导致未经授权的访问和潜在的数据泄露。因此，确保 API 安全是每个开发者的首要责任。除了遵循以上五大 API 安全最佳实践外，在 API 安全工具和平台的选型时，企业通常还会关注以下基准问题：

能否阻止攻击

能否发现和识别所有 API 资产，包括没有文档记录的 API

是否支持实施 “安全左移” API 安全实践

是否支持 API 事件响应和调查的流程化

能否防御 OWASPAPI 安全 TOP10 威胁

能否满足合规和法律要求