在如今的開放生態系統中，集中安全是一項挑戰

實現API可視化之前，我們必須認識到的，當今企業都在極力避免用單獨一個系統來管理所有API。IBM的集成工程總監Tony Curcio表示，他的許多客戶企業已經在使用包含典型內部基礎設施的混合架構，同時跨多家云供應商，采用SaaS和IaaS模式來獲取服務。

這些體系結構旨在提高安全韌性和靈活性。但我們清楚地意識到，這會使集中化工作變得更加復雜，也就是說：提高安全韌性和靈活性的代價是集中化工作的復雜化。因此，就必須要有一個的集中的API管控位置，以確保API相關業務活動的可視性以及更好地管理。

因為隨著時間的推移，這種復雜程度可能會不斷加深，所以安全團隊面臨的問題是，沒有一個集中的地方可以讓開發團隊管理所有API。此外，這種復雜性并不僅局限在基礎設施層，而是會持續到應用層。

Deloitte的高級技術執行官Moe Shamim認為非整體應用程序開發是關鍵。他聲稱，為了保持競爭力，同時將威脅降至最低，組織現在必須將數百萬行的代碼分解為基于API的模塊化流程和系統。這需要將API網關、IAM、節流等因素納入考慮，來進行重新的思考。這意味著需要花費大量的時間和資源。

隨著時間的推移，組織的API足跡不再有規律地增加。他們由各種API組成，包括兼并和收購而來的API、版本控制API、內部API、第三方API以及一些偏離預期用途、開發、測試、調試和診斷目的API等。然而，許多API都沒有文檔記錄和管理，甚至有些連保護措施都沒有，這使得復雜性問題變得更加嚴重。

“Shadow APIs”從何而來？

在這種混合云的現實背景下，將相同的程序運行于不同的企業資產所在環境中是一種挑戰。在選擇技術棧時，應該考慮到這一挑戰，以便在任何地方都能順利地落實政策并實施治理。

但這說起來容易做起來難，尤其是在收購其他組織，或與其他組織合并的成功企業中：每個業務都使用著不同的技術，并且需要為每個新增環境都設置一個自定制的API安全流程。

API生命周期？API工作方式！

根據Moe Shamim的說法，API的生命周期可以歸結為下圖。在制定API安全策略時，必須考慮架構、分布、設計以及影響組織開發API方法的其他方面。你可以將這些方面視為在API生命周期中每個階段引入的控件。它本質上與上述的可視性和集中性有關。

一張關于API生命周期的圖

設計階段決定了API是僅在網絡防火墻內使用還是公開使用，以及身份驗證等問題。同時它還將涉及更多的技術問題，如開發、網關類型以及使用的編程語言。重要的是考慮到威脅模型的同時，做出一個與你工具的生態系統相一致的選擇，這適用于你做出的每一個有關安全態勢的決定。

構建階段，必須掃描OWASP前10個問題。對此，SAST工具是個很好的選擇。滲透測試和版本控制雖不一定會集成到安全態勢中，但它們都是強大的機制，有益于擴充你的安全“軍火庫”。

運營階段包括節流、緩存和日志記錄等問題。完備的日志記錄和監控機制是修復階段的必備工具，它能夠幫助修復不同版本的漏洞。

最后但卻同樣重要的是下線階段。刪除不再使用的端點是一項基本的最佳做法；一般情況下，如果你不再需要一項服務，那么就不要讓它一直處于開啟狀態。如果你不再需要某個API了，就關掉它;云賬戶也是如此。

Tony Curcio聲稱，API項目治理的關鍵原則之一是API的開發人員、產品經理和消費者之間的協作。查看每個角色的安全配置，并對確保使用安全的API策略進行協調，這是組織安全態勢的一個基本方面。

在組織內樹立API優先的理念是有益的。例如，IBM開發了自己的API管理技術，使他們能夠更容易地公開和保護自己的API。但像Imvison那樣，擁有先進的API技術，還有很長的路要走。他們的人工智能技術幫助我們更多地了解，包括其來源等關鍵問題的攻擊途徑。

采取情報主導的安全應對方式

MAERSK的高級解決方案架構師Gabriel Maties提出了另一種觀點。由于MAERSK有著三年的API項目經驗，并且期間遭遇了一場嚴重的危機，所以在網絡安全方面，他一直認為即使不能比攻擊者做得更好，至少也要做得與其同樣好。

Gabriel分享了他對可視性的看法，因為API管理在內部共享資源，所以他從一開始就將API管理視為一項多參與者的工作。因此，系統的每個入口點及其支持機制都應該進行仔細的檢查并集中監控。

這種集中化很重要，因為可視性是多維的，從來沒有監控某個單獨的方面。這就需要對API進行全面的了解，使你能夠輕松了解API部署在哪里、擁有者是誰、使用者是誰、如何使用、正常使用的狀態是什么樣的以及每個API如何受到保護等問題。而且，集中化還有利于更好地了解每個API的生命周期是什么樣的、存在多少版本、共享哪些數據、存儲在哪里以及誰在使用這些數據等問題。

集中化是確保以最大效益以及最小風險的方式，管理這個復雜生態系統的唯一方法。

一張可視性層次的圖

擁有集中的觀察能力可以進一步進行洞察，從而對觀察結果采取行動。可視化使你能夠觀察正在進行的、未知的主動攻擊，同時制定策略，并且使你能夠利用觀察得來的見解來采取行動。

基于規則的安全性是非常有效的，并且機器學習和深度學習這兩種技術可以使其自動化和程序化。主要是因為沒有其他可供選擇的技術來處理海量的數據。并且，這兩種技術還能夠實現自適應威脅保護來幫助應對新的威脅。

壞消息是，黑客也在使用同樣的技術，而且處理這些技術需要組織成熟度，以采取必要的行動。我們這里討論的是一些繁重的操作，比如關閉負載平衡器、切換防火墻，以及自動、快速地進行的其他基礎設施的更改。如果沒有整個組織的高度成熟度，就無法實現這一點。

監督機器學習可以幫助組織提高這種成熟度。它使你能夠處理大量規則集并進行洞察，以便設計自動操作流。而且，數據科學在跟蹤特定攻擊者行為方面提供了重要的技術訣竅。當組織面臨不同資源或者持續的高級威脅時，這些訣竅至關重要。

規則和流程發生改變和更新時，這種以智能為主導的安全響應能夠依靠量化的證據做出持續的自適應、自反的響應。這是應對不斷增加且不斷復雜化攻擊的唯一方法。

黑屏：一個真實的攻擊事件

Gabriel談論過他在Maersk工作時經歷的一次真實攻擊。大約是在他加入Maersk九個月后的一天，他們的屏幕突然黑屏了。斷開服務器和拔插頭也都無濟于事。已經太晚了，短短幾分鐘之內，數千臺計算機便癱瘓了。

這不是以斂財為目的的攻擊，而是一次破壞性的攻擊，意在讓Maersk屈服。由于攻擊者使用了單向加密，所以Gabriel和他的團隊只能選擇重建系統。顯然，重建系統時，網絡安全是最為優先的事項。他們認為動態分析至關重要，為的是進行實時分析，以增強持續學習和適應威脅的能力。因為80%的攻擊都是內部行為，所以他們的目標是了解哪些行為是正常的，以及哪些什么是不正常的。

攻擊發生后，Gabriel提出了可視性的、健康檢查的四個級別和一個能夠判斷系統安全是否受到損害的方法。現在，所有流程和架構決策都必須通過網絡安全評估，都必須通過大量的檢查和平衡處理。但這并不意味著必須滿足所有條件，才能獲得新流程或決策的批準。因為關鍵點在于推動你對自己差距和弱點的了解。這樣你才能利用合適的功能和供應商，來實現你的安全理念。

在過去兩年中，我們看到越來越多的組織采用特定的API工具來幫助監控、發現和消除shadow API，以便更好地了解其風險。這是一個偉大的進步，因為API與我們的應用世界完全不同。采用專門為其構建的獨特工具和流程是保護API的唯一方法。

API安全：使董事會上船

正如我們所見，網絡安全攻擊數量和嚴重性正不斷提高，這引起了了許多企業的董事會和高管對API保護的重視。而提高可視性程度是讓高管了解所面臨風險的另一種方式。如果你能找到一種方法，讓你的高管們知道有多少未受保護的數據容易受到威脅，那么你已經贏了一半。

這種可見性反過來將增強一種更具適應性和自反性的網絡安全態勢，使你能夠不斷學習、洞察并調整自己的態勢，以應對不斷的新型攻擊。

在不同的企業資產中建立一致的、可視化的安全態勢是完善網絡安全戰略的核心原則。這種安全態勢必須考慮API生命周期的四個階段：設計、構建、運營和下線。為了正確地做到這一點，你必須選擇一種合適的技術。這種技術要能夠實施你在API安全管理初期所決定的策略、工具和治理。

最后，制定一個整體的、集中的戰略，以增強可見性來保護資產，也同樣重要。Imvision等創新公司提供的先進ML和深度學習技術一定可以幫助你實現這一目標。

點評

隨著API應用場景的增加，系統被攻擊的風險也不斷提升。API安全的維護不僅是網絡安全部門的工作，更要得到整個企業，尤其是領導決策層的重視。可視化技術在API生命周期中的應用，使得網絡安全態勢以更加形象具體的方式，呈現給包括非技術人員在內的所有系統用戶。這樣不但能使用戶其更好地了解當前系統的安全狀態，同時也充分發揮了群體決策的優勢。