Akamai大中國區(qū)產(chǎn)品市場經(jīng)理劉炅表示，來自Akamai的數(shù)據(jù)顯示，API流量已占互聯(lián)網(wǎng)總流量的80%以上。值得注意的是，最近一年中，API相關的網(wǎng)絡攻擊增長了超過287%。這一數(shù)據(jù)不僅凸顯了API在IT技術架構中的主導地位，還表明了互聯(lián)網(wǎng)安全環(huán)境正在迅速惡化。

Akamai還表示，即便企業(yè)在處理API漏洞方面表現(xiàn)出色，它們?nèi)匀幻媾R著API濫用的嚴重挑戰(zhàn)。這是因為，早期的API安全主要集中于防止攻擊者利用API編碼或配置漏洞，而現(xiàn)在的API濫用攻擊通常不利用這些漏洞，于是，便使得這種濫用更難以被發(fā)現(xiàn)。

如何應對API帶來的安全威脅？

為了防御日益增長的API濫用威脅，Akamai提出了三項策略。

第一個是拓展對API攻擊的思考，這要求企業(yè)不僅關注傳統(tǒng)的安全漏洞，還要考慮更廣泛的API安全威脅，如濫用和惡意行為。

第二個是分析更多有關API的數(shù)據(jù)，這主要強調(diào)了使用數(shù)據(jù)分析方法來更好地理解和監(jiān)控API流量的重要性，有助于識別潛在的安全威脅。

第三個是利用API發(fā)現(xiàn)濫用行為：這涉及使用先進的監(jiān)測工具和策略來主動發(fā)現(xiàn)并防御針對API的濫用行為，而不僅僅是傳統(tǒng)的安全漏洞。

Akamai還認為，零信任架構（ZTA）對于API安全方面至關重要，具體要如何用零信任架構（ZTA）來應對API安全問題呢？Akamai的專家總結了7點。

首先是要能持續(xù)API發(fā)現(xiàn)，能定期識別和記錄所有使用的API，確保對現(xiàn)有和新出現(xiàn)的API有較為全面了解。

要能管理未批準的API，當發(fā)現(xiàn)未經(jīng)授權的API時，能迅速采取行動，要么納入監(jiān)管范圍，要么直接移除，以減少安全風險。

要進行API身份的驗證和授權。無論API是公開的還是私有的，都要實施嚴格的身份驗證和訪問控制，確保只有授權用戶可以訪問。

主動識別API漏洞。從2023年常見的OWASP API安全威脅Top 10中應該意識到，應該將主動識別API漏洞作為一項持續(xù)的學科。

分析API流量數(shù)據(jù)。通過開發(fā)工具來分析大量API流量，建立正常行為的基準，從而更好地檢測異常行為。

整合威脅情報和信任洞察。在集成API的同時，還應該將威脅分析和信任評估結果也輸入到零信任策略當中，從而增強安全防護能力。

最后，還要能自動響應API威脅。在檢測到API漏洞、威脅或API濫用行為時，自動啟動預設的響應措施，迅速緩解安全事件。

Akamai創(chuàng)新應對API安全威脅

如今的安全領域，正在從原本眾多分散的安全系統(tǒng)，向XDR（擴展檢測和響應）演變。XDR可以整合多種安全工具，提供統(tǒng)一的網(wǎng)絡安全管理，涵蓋各種層面。它增強了對威脅的檢測、預防和響應能力，能幫助安全團隊更高效地處理安全威脅。

Akamai認為，XDR的能力可以有效應用于API安全問題。通過利用XDR的行為分析和威脅搜尋技術，可以更有效地監(jiān)測和識別API安全風險，如異常行為和潛在威脅。這種做法可以提升對API的保護，確保更高效的安全監(jiān)控和響應機制。

為此，Akamai提供了一個叫API Security ShadowHunt的托管式威脅搜尋服務，它集成了XDR原則，可以實現(xiàn)持續(xù)的API發(fā)現(xiàn)和風險評估。

API Security 平臺提供全面的 API 安全功能，其中包括，廣泛而持續(xù)的API 發(fā)現(xiàn)能力，可以提高對API 風險狀況的了解程度。它會利用大數(shù)據(jù)和基于云的分析引擎，檢查一段時間內(nèi)的所有 API 活動，持續(xù)檢測 API 濫用情況。

API Security ShadowHunt 首先會分析 API Security 平臺中的 API 活動數(shù)據(jù)。自動分析操作能夠檢測行為偏差，它會利用機器學習技術來獲得一些洞察，這些洞察會交給專業(yè)的分析師，分析師識別威脅后發(fā)出告警。分析師和 API Security 研究團隊還會定期提供新興威脅報告。

API Security ShadowHunt非常適合人手不足，或者缺乏 API 安全專業(yè)知識的團隊。作為一項威脅搜尋服務服務，它能夠幫助企業(yè)的安全團隊檢測并報告 API 流量中難以發(fā)現(xiàn)的安全威脅。

CDN加速、云計算和安全是Akamai三大業(yè)務方向，在安全方面，Akamai通過三個核心方面來保護客戶體驗、系統(tǒng)和數(shù)據(jù)。

首先，利用零信任安全策略，防止攻擊進展和橫向移動，加速合規(guī)性并保護應用程序和工作負載。其次，在應用程序和API安全性，保護企業(yè)的在線業(yè)務，可以防止惡意活動和欺詐。最后，它可以保護基礎設施，提高業(yè)務的連續(xù)性。

Akamai通過廣泛的解決方案組合，在全球范圍內(nèi)，為很多用戶提供安全服務，在API安全方面，Akamai有很多研究心得。

Akamai對于企業(yè)應對API安全的8個建議

在《API 安全 8 個注意事項》白皮書中，Akamai給企業(yè)在應對API安全問題時，提出了8個建議。

首先，應該努力實現(xiàn)完整的API可見性。持續(xù)發(fā)現(xiàn)和監(jiān)控API對保護至關重要。這一點在上文中也有提到。

第二點，Akamai讓企業(yè)不要害怕云計算，而是應該利用云計算的能力對API流量進行有效的行為分析。

第三點，務必將業(yè)務環(huán)境作為企業(yè)的戰(zhàn)略核心。應該在理解業(yè)務背景的基礎上，來識別和響應API的安全風險。

第四點，不要讓數(shù)據(jù)單向流動。確保告警數(shù)據(jù)可以與安全監(jiān)控和IT工作流程工具互動。安全信息不僅要能被記錄，還應該用來激活響應機制、改進策略或調(diào)整防護措施。

第五點，應該優(yōu)先考慮跨部門合作。鼓勵在API設計、開發(fā)和部署過程中團隊間的合作。

第六點，不要忽視第三方API。注意第三方API的風險，并確保它們是安全策略的一部分。

第七點，不要僅僅關注警報發(fā)生后的事情，而是應該主動進行威脅搜尋，應該盡可能主動作為，而不是被動響應。

最后一點，應該將API安全視為一個持續(xù)的動作，在整個生命周期中集成API測試，從而盡早識別漏洞。

這些建議共同構成了一個全面的API安全策略框架，可以幫助企業(yè)更好地理解、監(jiān)控和保護自己的API，幫助企業(yè)更好地應對日益復雜的網(wǎng)絡安全挑戰(zhàn)。

結束語

總而言之，API安全是確保企業(yè)技術架構完整性和數(shù)據(jù)安全的關鍵環(huán)節(jié)。隨著API攻擊的增加和安全形勢的復雜化，企業(yè)需要充分了解API安全并做出應對。通過不斷的學習、適應和創(chuàng)新，企業(yè)可以更好地應對這些挑戰(zhàn)，為數(shù)字化轉型提供安全保障。

zhupb