Akamai大中國區(qū)產(chǎn)品市場經(jīng)理劉炅表示，來自Akamai的數(shù)據(jù)顯示，API流量已占互聯(lián)網(wǎng)總流量的80%以上。值得注意的是，最近一年中，API相關(guān)的網(wǎng)絡(luò)攻擊增長了超過287%。這一數(shù)據(jù)不僅凸顯了API在IT技術(shù)架構(gòu)中的主導(dǎo)地位，還表明了互聯(lián)網(wǎng)安全環(huán)境正在迅速惡化。

Akamai還表示，即便企業(yè)在處理API漏洞方面表現(xiàn)出色，它們?nèi)匀幻媾R著API濫用的嚴(yán)重挑戰(zhàn)。這是因?yàn)?，早期的API安全主要集中于防止攻擊者利用API編碼或配置漏洞，而現(xiàn)在的API濫用攻擊通常不利用這些漏洞，于是，便使得這種濫用更難以被發(fā)現(xiàn)。

如何應(yīng)對API帶來的安全威脅？

為了防御日益增長的API濫用威脅，Akamai提出了三項(xiàng)策略。

第一個是拓展對API攻擊的思考，這要求企業(yè)不僅關(guān)注傳統(tǒng)的安全漏洞，還要考慮更廣泛的API安全威脅，如濫用和惡意行為。

第二個是分析更多有關(guān)API的數(shù)據(jù)，這主要強(qiáng)調(diào)了使用數(shù)據(jù)分析方法來更好地理解和監(jiān)控API流量的重要性，有助于識別潛在的安全威脅。

第三個是利用API發(fā)現(xiàn)濫用行為：這涉及使用先進(jìn)的監(jiān)測工具和策略來主動發(fā)現(xiàn)并防御針對API的濫用行為，而不僅僅是傳統(tǒng)的安全漏洞。

Akamai還認(rèn)為，零信任架構(gòu)（ZTA）對于API安全方面至關(guān)重要，具體要如何用零信任架構(gòu)（ZTA）來應(yīng)對API安全問題呢？Akamai的專家總結(jié)了7點(diǎn)。

首先是要能持續(xù)API發(fā)現(xiàn)，能定期識別和記錄所有使用的API，確保對現(xiàn)有和新出現(xiàn)的API有較為全面了解。

要能管理未批準(zhǔn)的API，當(dāng)發(fā)現(xiàn)未經(jīng)授權(quán)的API時，能迅速采取行動，要么納入監(jiān)管范圍，要么直接移除，以減少安全風(fēng)險。

要進(jìn)行API身份的驗(yàn)證和授權(quán)。無論API是公開的還是私有的，都要實(shí)施嚴(yán)格的身份驗(yàn)證和訪問控制，確保只有授權(quán)用戶可以訪問。

主動識別API漏洞。從2023年常見的OWASP API安全威脅Top 10中應(yīng)該意識到，應(yīng)該將主動識別API漏洞作為一項(xiàng)持續(xù)的學(xué)科。

分析API流量數(shù)據(jù)。通過開發(fā)工具來分析大量API流量，建立正常行為的基準(zhǔn)，從而更好地檢測異常行為。

整合威脅情報和信任洞察。在集成API的同時，還應(yīng)該將威脅分析和信任評估結(jié)果也輸入到零信任策略當(dāng)中，從而增強(qiáng)安全防護(hù)能力。

最后，還要能自動響應(yīng)API威脅。在檢測到API漏洞、威脅或API濫用行為時，自動啟動預(yù)設(shè)的響應(yīng)措施，迅速緩解安全事件。

Akamai創(chuàng)新應(yīng)對API安全威脅

如今的安全領(lǐng)域，正在從原本眾多分散的安全系統(tǒng)，向XDR（擴(kuò)展檢測和響應(yīng)）演變。XDR可以整合多種安全工具，提供統(tǒng)一的網(wǎng)絡(luò)安全管理，涵蓋各種層面。它增強(qiáng)了對威脅的檢測、預(yù)防和響應(yīng)能力，能幫助安全團(tuán)隊(duì)更高效地處理安全威脅。

Akamai認(rèn)為，XDR的能力可以有效應(yīng)用于API安全問題。通過利用XDR的行為分析和威脅搜尋技術(shù)，可以更有效地監(jiān)測和識別API安全風(fēng)險，如異常行為和潛在威脅。這種做法可以提升對API的保護(hù)，確保更高效的安全監(jiān)控和響應(yīng)機(jī)制。

為此，Akamai提供了一個叫API Security ShadowHunt的托管式威脅搜尋服務(wù)，它集成了XDR原則，可以實(shí)現(xiàn)持續(xù)的API發(fā)現(xiàn)和風(fēng)險評估。

API Security 平臺提供全面的 API 安全功能，其中包括，廣泛而持續(xù)的API 發(fā)現(xiàn)能力，可以提高對API 風(fēng)險狀況的了解程度。它會利用大數(shù)據(jù)和基于云的分析引擎，檢查一段時間內(nèi)的所有 API 活動，持續(xù)檢測 API 濫用情況。

API Security ShadowHunt 首先會分析 API Security 平臺中的 API 活動數(shù)據(jù)。自動分析操作能夠檢測行為偏差，它會利用機(jī)器學(xué)習(xí)技術(shù)來獲得一些洞察，這些洞察會交給專業(yè)的分析師，分析師識別威脅后發(fā)出告警。分析師和 API Security 研究團(tuán)隊(duì)還會定期提供新興威脅報告。

API Security ShadowHunt非常適合人手不足，或者缺乏 API 安全專業(yè)知識的團(tuán)隊(duì)。作為一項(xiàng)威脅搜尋服務(wù)服務(wù)，它能夠幫助企業(yè)的安全團(tuán)隊(duì)檢測并報告 API 流量中難以發(fā)現(xiàn)的安全威脅。

CDN加速、云計(jì)算和安全是Akamai三大業(yè)務(wù)方向，在安全方面，Akamai通過三個核心方面來保護(hù)客戶體驗(yàn)、系統(tǒng)和數(shù)據(jù)。

首先，利用零信任安全策略，防止攻擊進(jìn)展和橫向移動，加速合規(guī)性并保護(hù)應(yīng)用程序和工作負(fù)載。其次，在應(yīng)用程序和API安全性，保護(hù)企業(yè)的在線業(yè)務(wù)，可以防止惡意活動和欺詐。最后，它可以保護(hù)基礎(chǔ)設(shè)施，提高業(yè)務(wù)的連續(xù)性。

Akamai通過廣泛的解決方案組合，在全球范圍內(nèi)，為很多用戶提供安全服務(wù)，在API安全方面，Akamai有很多研究心得。

Akamai對于企業(yè)應(yīng)對API安全的8個建議

在《API 安全 8 個注意事項(xiàng)》白皮書中，Akamai給企業(yè)在應(yīng)對API安全問題時，提出了8個建議。

首先，應(yīng)該努力實(shí)現(xiàn)完整的API可見性。持續(xù)發(fā)現(xiàn)和監(jiān)控API對保護(hù)至關(guān)重要。這一點(diǎn)在上文中也有提到。

第二點(diǎn)，Akamai讓企業(yè)不要害怕云計(jì)算，而是應(yīng)該利用云計(jì)算的能力對API流量進(jìn)行有效的行為分析。

第三點(diǎn)，務(wù)必將業(yè)務(wù)環(huán)境作為企業(yè)的戰(zhàn)略核心。應(yīng)該在理解業(yè)務(wù)背景的基礎(chǔ)上，來識別和響應(yīng)API的安全風(fēng)險。

第四點(diǎn)，不要讓數(shù)據(jù)單向流動。確保告警數(shù)據(jù)可以與安全監(jiān)控和IT工作流程工具互動。安全信息不僅要能被記錄，還應(yīng)該用來激活響應(yīng)機(jī)制、改進(jìn)策略或調(diào)整防護(hù)措施。

第五點(diǎn)，應(yīng)該優(yōu)先考慮跨部門合作。鼓勵在API設(shè)計(jì)、開發(fā)和部署過程中團(tuán)隊(duì)間的合作。

第六點(diǎn)，不要忽視第三方API。注意第三方API的風(fēng)險，并確保它們是安全策略的一部分。

第七點(diǎn)，不要僅僅關(guān)注警報發(fā)生后的事情，而是應(yīng)該主動進(jìn)行威脅搜尋，應(yīng)該盡可能主動作為，而不是被動響應(yīng)。

最后一點(diǎn)，應(yīng)該將API安全視為一個持續(xù)的動作，在整個生命周期中集成API測試，從而盡早識別漏洞。

這些建議共同構(gòu)成了一個全面的API安全策略框架，可以幫助企業(yè)更好地理解、監(jiān)控和保護(hù)自己的API，幫助企業(yè)更好地應(yīng)對日益復(fù)雜的網(wǎng)絡(luò)安全挑戰(zhàn)。

結(jié)束語

總而言之，API安全是確保企業(yè)技術(shù)架構(gòu)完整性和數(shù)據(jù)安全的關(guān)鍵環(huán)節(jié)。隨著API攻擊的增加和安全形勢的復(fù)雜化，企業(yè)需要充分了解API安全并做出應(yīng)對。通過不斷的學(xué)習(xí)、適應(yīng)和創(chuàng)新，企業(yè)可以更好地應(yīng)對這些挑戰(zhàn)，為數(shù)字化轉(zhuǎn)型提供安全保障。

zhupb