現在，很多安全團隊已經意識到：API是他們最大的安全盲點之一。對此，很多人的應對措施是將注意力集中在最明顯的API風險領域：面向外部的移動和Web應用程序所依賴的B2C API上。

延伸閱讀，點擊鏈接了解 Akamai API Security

由于這些B2C API服務于外部世界，特別容易受到爬蟲和其他自動化方法的攻擊。為了應對這些威脅，許多企業部署了專門的爬蟲緩解工具，或者使用第一代API產品/網絡應用程序防火墻（WAF）來嚴格管理對B2C API的訪問。

這些都是合理做法，但就整體API風險而言，B2C API只是冰山一角。企業的B2B API中往往隱藏著更大風險。

B2B API已成為數字化轉型的“磚瓦水泥”

雖然很多企業對B2C API的安全性已經有了相對充分的了解，但很多安全團隊卻忽視了B2B API在企業中所發揮的核心作用，以及這類API中蘊含的潛在破壞性風險。身處當今市場，為保持競爭力，任何企業不可避免需要面對數字化轉型。但是當業務合作伙伴通過API整合關鍵運營功能時，這種整合會形成一個復雜的互聯網絡。

很多基于API的連接點提供了對核心業務職能的直接可見性和訪問途徑。當這些功能和數據僅限于受信任的合作伙伴使用時，可能完全沒有問題。但如果落入不法合作伙伴或外部攻擊者手中，這種API級別的訪問就會被利用，從而對業務造成破壞性影響。

API之間的流量也是一個經常被忽視的攻擊載體

1.B2B API通常由企業內不同于B2C API管理團隊的另一個團隊負責編寫和維護，有時甚至管理團隊也是獨立的。
例如，分銷商、供應商和其他業務合作伙伴使用的B2B API往往會由業務部門或IT部門負責。不同部門的方法和流程往往大相徑庭。

2.B2B API通常被視為更值得信賴，因為它們是由知名公司的已知合作伙伴認證的。知名合作伙伴作為API消費者的這種熟悉感，往往會讓人們更愿意忽視API安全最佳實踐。
但實際上，企業是由人組成的，而人是會犯錯的。他們可能會設置錯誤的API密鑰，也可能會被入侵、被社會工程手段攻擊，或以其他方式變成有惡意的內部人員。

3.由于B2B API是經過驗證的，而且所服務的用戶數量往往少于B2C API，因此負責API和安全的團隊很容易陷入虛假的安全感中。許多企業未能預料到B2B API會以非預期方式被濫用，也低估了其對業務的影響。

例如，使用API的經驗證合作伙伴可能會濫用他們對我們數據和業務功能的訪問權限，從而獲得不公平的優勢，或與我們的企業展開競爭。更有甚者，受信任的合作伙伴可能會被攻破，從而使攻擊者可以自由使用我們的敏感資源，并有時間探查更多有破壞性的API濫用載體。

緩解工作所面臨的挑戰

即便了解了這些風險，也無法通過爬蟲緩解工具、WAF或第一代API安全產品來緩解相關問題。造成這種情況的一個重要原因是：大多數企業甚至沒有完整的B2B API清單。

另一個關鍵挑戰是：B2B API通常不會受到可預測的攻擊模式或流量峰值的影響，而這些狀況通常意味著遇到了爬蟲活動。更常見的情況是，它們會受到各種形式的API濫用攻擊，這些攻擊會與合法使用完全融為一體。

即使安全團隊擁有主動監控的完整B2B API清單，他們也不太可能使用傳統的攻擊簽名檢測到這些形式的API濫用。沒有任何簽名技術可以捕捉到這種獨特的，或零時差的API濫用。

廣泛的可見性和行為分析是有效保障B2B API安全的關鍵

那么企業如何才能更好地控制其B2B API安全性？最重要的兩個步驟是：

1. 實施廣泛、持續的API發現和可見性功能
2. 應用行為分析技術，區分濫用與合法活動

廣泛持續的API發現和可見性

盡管大多數企業都在努力為自己的API實施結構合理的流程和管理措施，但惡意API和影子API幾乎無處不在。通常，這些API并非出于惡意目的而創建的。

然而現實情況是，大多數企業都有許多團隊和活動部件，所有這些都在快速發展。再加上偶爾的合并或收購，突然之間，即便最積極主動的企業也可能會發現：自己在查看所暴露出的API方面有很大的盲區。

面對這種問題，唯一的解決方法是持續監控所有環境中的API活動。這可以通過捕獲和分析所有可用來源的API活動流量和日志來實現，這些來源包括：

• 數據包代理
• 流量鏡像
• API網關
• 內容交付網絡
• 云提供商日志
• 日志管理系統
• 編排工具

一旦了解了企業API活動的全部范圍，并制定了隨時間推移發生變化而保持可見性的計劃，我們就可以著手保護B2B API了。

Be行為分析技術

彌補B2B API風險緩解能力缺口的關鍵在于：使用基于行為分析的方法，來增強或取代保護B2C API的工具和技術。

為什么？正如許多安全團隊在使用針對企業安全的擴展檢測和響應（XDR）解決方案時發現的那樣，行為分析可以確定合法或預期行為基線，進而發現無法提前預測的異常情況。

同樣的概念也適用于應用程序安全。首先要對API數據中的用戶和業務流程進行分析，隨后就可以更容易地發現異常情況，這些異常情況預示著B2B API正在被濫用，或者至少正在以意想不到的方式被使用。

全面了解API安全態勢

利用API行為分析解決方案更好地了解API的使用和濫用情況，這并不是一項復雜的工作。我們不需要復雜而昂貴的內部安全基礎架構。有了Akamai API Security，我們可以在幾分鐘內大規模地獲得第一手資料，通過Akamai完全基于SaaS的方法，幫助企業了解并保護整個API環境。

邁出第一步

Akamai的API安全解決方案可幫助企業找到并保護所有API，為數據安全提供保證。這種不依賴特定平臺的SaaS解決方案為應用程序和API安全工作提供了必不可少的XDR能力。

—————————————————————————————————————————————————

如您所在的企業也想要進一步保護API安全，

點擊鏈接 了解Akamai的解決方案