万物互联的企业数字时代，API 在应用环境中变得越来越普遍 ，受影势必通过 API 可以快速构建产品和服务，响A行并迅速响应客户的安全需求 ，它已成为数字化企业的防护必备技能。尤其在后疫情时代，企业远程办公、受影势必线上教学等线上应用迅速发展，响A行作为一种能够支撑线上应用连接和数据传输重任的安全轻量化技术，API 已无处不在 。防护与此同时  ，企业API 承载着企业核心业务逻辑以及敏感数据 ，受影势必因此成为网络犯罪分子的服务器租用响A行重点攻击目标
。

API 安全事件频发

近年来 ，安全由于API的防护高速发展以及业务增速和安全的不对位，因此API安全问题导致的数据泄露事件频发 。例如
：

2021年4月Facebook5亿用户数据泄漏 ，根据暗网上公布的数据截图，涉及到用户的昵称，邮箱，电话，家庭住址的信息判断，源码库为业务接口泄漏。2021年6月，根据裁判文书网公开的判决案例显示，犯罪嫌疑人逯某通过某宝业务接口开发的爬虫软件获取了用户id，昵称，电话号码等信息11亿条。2021年12月 ，国内某证券公司的客户信息数据，包括：用户姓名、手机号、开户时间、交易情况等敏感数据，以每日1万多条的高防服务器量级在数据交易平台被售卖 。经验证分析
，证实为内部系统数据API管控疏忽导致。

至于为何企业会持续不断的发生类似问题 ？首先
，企业的业务迭代速度越来越快  ，对线上业务的API管理难度增加；此外 ，对于企业的安全团队来说
，线上业务的风险管理不单单是技术问题，需要业务方有足够的主动配合意愿；另外，建站模板当黑灰产已经开始以业务风险为主要攻击平面的时候，企业对业务安全的意识不够，需要时间来转换 。

API 安全风险加剧 

据《2021年中国互联网安全报告》数据显示，2021年针对API业务的攻击达到147.98亿次，同比增长超过200%。此外，针对API业务的攻击手段类型整体趋于多样化
。 

Gartner 曾预测:“到 2022 年 ，API 滥用将从原本频率较低的攻击类型变为导致企业 Web 应用程序数据泄露的最常见攻击媒介 
。云计算” 

果不其然，根据研究部门 Salt Labs 发布的《2022年第一季度 API 安全状况报告》显示 ，过去一年 ，恶意 API 流量增加了 681%，有 95% 的企业都经历了 API 安全事件，而且大多数企业并没有准备好应对这些挑战，还有 34% 的企业没有 API 安全策略。

Karma 情报平台通过捕捉到的 API 自动化攻击工具和攻击流量对近期的API安全风险态势进行了分析：

网络攻击持续高发 ，API攻击量月均超25万；营销作弊仍是主要的API攻击场景 ，免费模板数字藏品被攻击热度依旧高涨；恶意爬虫针对API进行破解和伪造，房源
、招聘等信息成重点爬取对象；利用API非法窃取数据
，数字政务成为重点攻击目标。

API存在安全缺陷是导致API攻击的主要原因。据永安在线《API安全研究报告》显示 ，未授权访问 、允许弱密码、错误提示不合理以及云服务配置错误是近期需要引起重视的四类API安全缺陷 。

其实
，API漏洞与Web漏洞大同小异 ，API 调用能更容易、更快速地实现自动化，这是其设计使然 ，可也是一把双刃剑，不但方便了开发人员
 ，同时也方便了攻击者。

API 安全性建议

Akamai 在其发布的《互联网现状/安全性》报告中建议了几项 API 安全性的最佳做法:  

1. 发现您的 API 并对它们进行逐一盘点跟踪
。许多企业都遭遇过他们毫不知情的 API 所引发的事件。因此 ，了解 API 的位置及其用途至关重要
。与此相关的还有企业使用的外部 API。这些 API 也需要得到识别和保护，或者至少被登记为潜在的风险项目并得到评估
。

2. 一旦确定所有 API 的位置 ，您就要对它们进行测试并了解其中存在哪些漏洞。这不仅需要测试工具和扎实的开发人员培训，也需要与现有安全团队紧密合作。另外还需要针对风险承受能力进行探讨，并制定计划以尽早修复漏洞
。首先确定是否存在硬编码密钥、逻辑调用
 ，并了解 API 流量是否会受到冒充攻击的影响 。还有一个好办法就是扫描存储和代码库以查找可用于破坏 API 或与其相关的任何内容的密钥。

3. 在开发和发布期间 ，充分利用现有的 WAF 基础架构、任何身份管理和数据保护解决方案，以及任何专门的 API 安全工具 。此外 ，确保 API 安全性是一项长期工作，而不是开发过程中的一次性任务。新的漏洞和攻击源源不断 ，一次性检查只会让攻击面暴露在风险之中 。

4. 在 API 策略方面，尽量避免为每种 API 使用唯一的策略 ，而是偏向于可以重用的一揽子策略 。此外 ，不要将策略直接编码到需要保护的 API 中
。这样做违反了职责分离机制，增加了不必要的复杂性
，也额外加重了维护代码的人员的管理负担 ，并造成安全团队缺乏可见性。有一条有效的经验法则，就是将任何资源的默认访问级别设置为空值或拒绝。这会强制执行最小特权，并使身份验证成为一项持续要求。

5. 在某种层面上，API 开发需要各种利益相关者的参与 。其中包括开发团队、网络与安全运营团队、身份相关团队(如果他们不属于运营团队)、风险管理师 、安全架构师，以及法律/合规团队(以确保产品遵守所有治理和监管法律)。

如今，针对API的攻击逐渐成为恶意攻击者的首选 ，将有越来越多的攻击者利用API窃取敏感数据并进行业务欺诈，API作为数字时代应用服务化的关键技术支撑，为其构建健全的安全防护体系已势在必行。​