架構

近日，創新安全服務商Salt Labs發布了2023年第一季度《API安全態勢研究報告》（以下簡稱《報告》）。《報告》數據顯示，94%的受訪企業在過去一年經歷過生產系統中的API安全問題，17%的受訪者表示他們所在的企業組織由于API安全漏洞而發生了數據泄露。《報告》還發現，在過去的6個月時間里，API攻擊活動數量快速增長了400%，其中有78%的攻擊發生在經過初步安全性驗證的API上。研究人員表示，API威脅態勢仍在持續加劇，其安全性將在2023年成為企業組織安全運營團隊關注的重點。 

API安全是業務問題

《報告》研究發現，API安全性已經成為企業組織的一個關鍵性業務發展問題，而非僅僅是信息安全的問題，這一點可以從業務系統發布延遲、API安全意識增強以及企業對API安全應用的滿意度低等多個方面體現出來：

• 超過一半的受訪者（59%）表示，由于擔心API安全問題，他們不得不延后新業務系統的發布排期。如此高的百分比說明，現有的測試工具和安全代碼開發能力還無法解決當前API應用的安全挑戰。開發人員并不能有效識別API中每一個可能的業務邏輯缺口；
• 只有23%的受訪者認為他們現有的安全手段在防止API攻擊方面非常有效；
• 48%的受訪企業表示，在過去的一年里，API安全性已經成為公司管理成關注的問題。在受到嚴格監管的行業，這一比例甚至更高，如科技研發（59%）、金融服務（56%）和能源/公用事業（55%）。而就公司規模而言，員工人數在5001- 10000人之間的公司，高管參與API安全討論的比例最多（71%）。

數據顯示，目前最受企業重視的兩個API安全防護需求是如何阻止攻擊和識別PII暴露，而實現左移API安全實踐的能力則關注度較低。

最重要的API安全能力

當被問及最擔心的API安全風險時： 

• 54%的受訪者表示“僵尸”API是一個非常令人擔憂的問題，這一比例高于上一季度的42%；
• 43%的人表示賬戶接管（ATO）是需要關注的問題；
• 只有20%的人認為“影子”API是最令人擔憂的問題。考慮到API文檔方面的挑戰，這方面的實際風險可能比企業意識到的更嚴重。

企業最擔心的API安全風險

攻擊者更加激進

《報告》數據顯示，當前不僅API攻擊數量正在快速上升，惡意行為者同時還在繼續尋找新的、意想不到的方式來實施攻擊：

• 對API進行簡單的身份驗證并不足以阻止攻擊者。報告數據顯示，78%的API端點攻擊來自看似合法的用戶，但實際上是惡意繞過了身份合法性驗證的攻擊者；
• 面向內部的應用程序API通常完全不受保護，因為安全團隊并不關心其是否需要強大的安全性。然而，《報告》數據顯示，有8%的API攻擊是專門針對企業內部的API； 
• 2022年12月，共有4842名攻擊者實施了API攻擊活動，這一數據比半年前增長了400%。

API攻擊活動增長態勢

API安全策略仍不完善

隨著企業數字化發展，其對API應用的依賴也達到空前的高度。因此，構建和實現強大的API安全策略變得更加迫切。然而，調查發現，絕大多數組織仍然缺乏成熟的API安全程序： 

• 只有12%的受訪企業認為他們的API安全防護策略是先進/高級的，包括專用的API測試和運行時保護，這一比例高于2022年第三季度的10%；
• 受訪企業目前還依賴于傳統的API安全方法，如WAF、API網關和日志文件分析，但只有23%的受訪者認為這些方法是有效的；
• 盡管所有受訪者都有生產API，但30%的受訪者當前并沒有明確的API安全策略。其中25%的人表示他們還處于計劃階段，而5%的人表示完全沒有API安全策略。

企業API安全策略與計劃調查

API安全防護建議

報告研究人員認為，API會越來越難以保護，因為當前的工具和安全流程無法跟上API安全發展趨勢的步伐。組織必須從傳統的安全實踐和上一代工具轉向創新的安全方法，在API生命周期的每個階段解決可能的安全問題，并提供更全面的保護。

01定義一個強大的API安全策略

組織需要定義和執行一個API安全策略，該策略需要涵蓋完整的API生命周期，并協調跨職能和部門的防護責任。全面的API防護策略必須包括API設計分析和偏離分析、自動和持續的發現、增強的運行時保護、使用運行時安全防護工具、API安全事件調查與培訓，以及跨職能團隊分擔責任的明確流程。

02評估API安全風險水平

企業應該根據API安全最佳實踐驗證當前API設計，例如，檢查在給定業務功能的API調用序列中，驗證安全控制措施是否到位。安全團隊還要根據OWASP API安全TOP 10列表發起模擬攻擊，以了解WAF和API網關所存在的防護缺口。在有條件的情況下，可以模擬2022年知名API安全事件的場景，看看組織的API中是否存在類似的業務邏輯缺陷。

03在所有應用環境中啟用API安全措施 

隨著API成為當今所有應用程序開發的基礎，組織不能放任其在某些環境中缺乏保護。組織必須能夠在本地、云以及容器和Kubernetes部署上，應用API發現和運行時保護。此外，如何將API安全工具連接到組織的環境中也很關鍵，需要避免API安全平臺因對應用程序運行狀態的影響。

04關注API運行時的安全性

沒人能編寫完全安全的代碼，因此在API運行時防護可以持續地降低風險。由于每個API都是唯一的，惡意行為者必須執行廣泛的偵察，才能確定他們可以利用的業務邏輯漏洞或缺口。要查看這些邪惡但安靜的活動，API安全平臺必須能夠在很長一段時間內捕獲數百萬個數據點，因為API攻擊可能需要數周甚至數月才能展開。這種強大的分析能力需要通過成熟的大數據技術和AI算法實現。

05不要過度相信“安全左移” 

將安全能力左移到開發環節有其優點，但企業應該認識到，大多數API安全漏洞并不能在開發測試環節被檢測到，它們只能在運行時被檢測和發現。因此，企業需要尋找具有強大運行時保護能力的API安全平臺，以補充開發管道測試和OAS分析能力。通常，安全左移策略的實施需要很長的時間來交付價值，而且，它們并不能全部識別所有的API安全漏洞。而運行時的安全性保護可以讓企業隨著時間推移而強化API。