在“萬物皆可API”的時代，通過API快速構建產品和服務、迅速響應客戶需求已是數字化企業的必備技能。但同時，API承載著越來越復雜的應用程序邏輯和越來越多敏感數據的特征，也使得API成為黑產的重點攻擊目標。

近年來，不少國際知名企業都因API安全疏忽而遭受了巨大的打擊。不僅如此，據研究部門Salt Labs發布的《2022年第一季度API安全狀況報告》顯示，在過去12個月中，惡意API流量增加了681%，95%的組織都經歷了API安全事件。然而，大多數組織并沒有準備好應對這些挑戰，超過三分之一（34%）的企業沒有API安全策略。

API五大安全風險，你中招了嗎？

2021年，我國《數據安全法》正式施行，數據安全步入法治化軌道，API安全也隨之進入依法建設的新階段。從《數據安全法》對數據傳輸、提供、公開的技術要求角度看，國內政企機構API應用主要面臨五大管理挑戰和安全風險：

風險一：API資產無法有效管理

由于API數量增長太快，很多企業都不清楚自己擁有多少個API，以及API處于什么樣的狀態。API接口無法掃描和探測，大量的API接口如何梳理？如果API資產不清，安全責任如何劃分落實？又如何解決API資產的生命周期管理問題？

瑞數方案：針對API資產管理的挑戰，瑞數API 安全管控平臺（API BotDefender）可以持續發現API接口、建立API清單，并與業務方提供的API清單進行比對，以及時發現未知的API和僵尸API。同時，對API接口實現分類、分組、并指派責任人，實現數據分權管理；并提取API接口樣式，為API接口提供可視化展示。

風險二：API安全攻擊風險

不安全的API會持續擴大應用程序攻擊面，讓黑客更容易進行偵察、收集配置信息以及策劃網絡攻擊。當API面臨各種安全攻擊，企業如何進行有效識別和防護？例如：API請求參數是否合規？API接口調用順序是否合規？

瑞數方案：面對多樣化的API攻擊，瑞數API安全管控平臺可以基于已知業務邏輯和依賴關系定義API接口調用順序，防止繞過業務邏輯的訪問行為，提前設置接口請求參數調用規則，拒絕非法的API請求參數調用，降低安全配置錯誤，縮小攻擊面。同時，支持API安全攻擊檢測和防護，并引入語義分析技術，進一步提高檢測準確性。

風險三：敏感數據管控

如今針對API的攻擊已成為惡意攻擊者的首選，越來越多的黑客利用API竊取敏感數據并進行業務欺詐。如果企業未對敏感信息等數據進行脫敏處理，且未加密傳輸，一旦流量被截獲、破解，將對企業、公民個人權益造成嚴重影響。因此，企業需要更深入了解哪些API攜帶了什么類型的敏感信息；如何識別API訪問中的敏感數據；對API中的敏感數據，如何實現控制；如何應對合規審計的要求等。

瑞數方案：為了更好地管控敏感數據，滿足合規審計需求，瑞數API安全管控平臺內置敏感信息檢測引擎，覆蓋姓名、手機號、身份證、銀行卡、密碼等18種敏感數據類型，可以對敏感信息進行自動分級，實時洞察API接口中雙向傳輸的敏感數據、明文密碼和弱密碼，并及時對API接口回傳報文中的敏感信息進行脫敏處理，規避數據泄漏風險。

風險四：API異常訪問風險

隨著自動化攻擊手段的不斷升級，企業即使建立了身份認證、訪問授權、敏感數據保護等機制，有時仍無法避免黑客以機器模擬正常用戶行為來實施攻擊。面對以合法身份登錄、模擬正常操作、多源低頻的API訪問請求，企業能否察覺訪問行為是否異常？如何管理API的訪問行為，從API訪問中如何識別業務風險？針對異常訪問，又如何實現管控？

瑞數方案：以合法身份登錄、模擬正常操作、多源低頻的API訪問請求，是API攻擊很難被發現的重要原因。對此，瑞數API 安全管控平臺基于多維度實時監控 API 接口的訪問行為，包括訪問成功率、耗時、TPS、并發數、攻擊事件等維度，建立API訪問基線，能夠及時發現偏離基線的異常訪問行為。同時，內置的API業務威脅模型，可以透視API常見的業務威脅，如：撞庫、爬蟲等，高效準確進行人機識別。

風險五：實時安全防護

面對未知的、多樣化的API攻擊，企業需開啟實時安全防護，對API安全威脅進行主動發現和響應，才能真正為業務筑起安全防線，例如：能否實時細粒度阻斷、熔斷各類風險？能否在實現防護同時不影響業務？

瑞數方案：基于企業對實時安全響應和業務發展的需求，瑞數API BotDefender內置靈活的API訪問控制策略，可基于API接口、API分組，API 管理責任人、源IP、訪問頻率、客戶端指紋、API令牌、User Agent、HTTP請求特征等上百多個元素，對API接口實現精細化的訪問控制，支持多維度限頻、攔截、延時等，實現安全和業務的平衡。

目前，大多數企業在API安全應對上主要依賴傳統的身份認證、權限控管及請求內容校驗等安全機制，但黑產已經實現各類攻擊資源高度的模塊化和市場化，使得企業無法從容應對現有業務模式下API的各類新興威脅。

與傳統安全產品相比，瑞數API安全管控平臺（API BotDefender）率先在業內提出了“ADMP安全模型”方法論，從API“感知、發現、監測、保護”四個角度出發，實現API數據傳輸、提供、公開的安全治理，體系化保障API安全。這彌補了各類產品的弊端，并具備多種核心優勢：

自動化API資產管理

傳統API網關主要實現鑒權和認證，缺少API安全層面的發現和管控。

瑞數API安全管控平臺則可以快速自動地發現API資產，并可實現API接口的高精度識別和樣式提取，對發現的API給出明確的認定；同時，顯示出清晰的API列表，對API接口的訪問情況一目了然，幫助用戶實現API資產生命周期管理。

API多維度攻擊防護

傳統WAF基于規則庫，只能固守規則對安全攻擊進行攔截，無法全方位透視業務威脅。

瑞數API安全管控平臺采用全程式安全威脅防護技術，基于語義分析規則綜合性地對異常行為進行檢測分析，誤報率、漏報率明顯降低；通過流量分析和行為分析技術，精準構建API業務威脅模型。不僅覆蓋OWASP API Security Top10的攻擊防御，且通過API業務威脅模型，能夠快速應對諸如爬蟲、撞庫等各類API業務安全威脅。

行業性敏感數據管控

瑞數API安全管控平臺默認自帶有多種類的敏感數據識別策略，覆蓋政府、金融、運營商、醫療等行業幾十種常見敏感數據的識別，亦可根據行業用戶針對性業務特點進行敏感數據自定義標簽化數據，幫助用戶快速識別敏感數據。

動態響應防護

瑞數API安全管控平臺能夠對攻擊和異常行為的結果或指定條件，進行動態響應防護，提升通過逆向探測或機器學習分析等攻擊手段的難度。

高能性處理

瑞數API安全管控平臺從采集API數據、解構API報文、聯系API上下關系等流程上優化數據處理，能支撐超大流量環境的API治理，支持的業務訪問數（TPS）能力是傳統方式的20倍。