在当今信息化高速发展的时代，API（应用程序编程接口）技术已成为企业数字化转型的基石，它连接着各种服务、传输数据并控制系统，成为现代数字业务环境不可或缺的一部分。然而，随着API的广泛应用，其安全性问题也日益凸显，成为了企业不得不面对的挑战。今天我们就来了解下什么是API，当前API面临着哪些安全风险，以及有哪些防护措施，可以做好API安全。

一、什么是API

API，全称Application Programming Interface，即应用程序编程接口，是一组规则定义和协议规范，它允许不同的软件应用程序或组件交互和通信。简单来说，API是一种媒介，定义了不同的软件组件如何相互“交谈”。

二、API当前的安全现状

随着云计算、大数据、物联网等技术的快速发展，API的应用场景不断拓展，其数量呈爆炸性增长。从简单的数据查询、服务调用，到复杂的业务流程、系统集成，API都扮演着重要的角色。然而，这种广泛的互联和共享也带来了安全风险。由于API的开放性和可访问性，它们成为了攻击者的主要目标。一旦API被攻击，不仅会导致数据泄露、服务中断等严重后果，还会对企业的声誉和利益造成巨大损失。

根据Salt Security2022年最新发布的《API安全趋势调查报告》数据显示：
2022年，平均每个受访企业的API数量较去年增长82%。同时，恶意API流量占比约为2.1%，比去年激增117%；
API攻击正在引发严重的安全问题，有94%的受访者表示他们在过去一年内遇到过API安全问题；
近一半（47%）的受访者表示，他们在企业应用的API中检测出安全漏洞；38%的受访企业遭遇过API引发的身份安全问题，31%的受访企业遭遇过API引发的敏感数据泄露和隐私安全事件；
40%的受访者表示将努力解决API应用安全问题，但只有11%的受访者表示，目前已经使用了针对性技术来进行API安全测试和保护工作。

以上数据显示，还有很多企业没有对API面临的安全威胁保持足够的重视。一旦遭受API安全事件，将给企业带来的无法估量的损害。因此，我们需要重视解决API的安全问题，确保对网络中最常见和最严重的API安全威胁进行及时处理。

三、当前API安全的常见风险与防护建议

API安全不仅仅是修复单个漏洞的问题，需要我们从更广泛的角度解决API网络安全缺口，在设计和实现API时，需要充分考虑其安全性，并采取相应的安全措施来防范潜在的安全威胁。 德迅云安全分享以下一些危险的API安全风险和相应的防护措施。

1、影子API和僵尸API

影子API是目前API安全中最为突出的问题，由于API的使用率激增，企业往往无法全部跟踪管理，因此，一些API无法及时进行维护更新， 这些未经授权或已废弃的API可能存在于企业的系统中，由于管理不善或疏忽，从而成为了被恶意黑客公开利用的漏洞。
与影子API类似，僵尸API也是一个巨大的安全风险，其通常指的是旧的、很少使用的API版本。由于僵尸API很少得到安全团队的注意，所以也容易被有心人所利用。

防护措施：

及时维护更新API库存表可以尽可能减少影子API或僵尸API的存在。为此，组织必须要求IT团队跟踪和监视所有正在运行的API，以查找未解决的漏洞、故障或错误配置。组织还可以利用自动化API安全工具（如AppTrana）进行API库存跟踪。此外，所有开发人员和相关人员都应该确保所有API都有规范的文档进行说明和映射。

2、不安全的资源展示

一些API需要向客户端显示可用资源列表以供使用者及时了解。该列表可能包括“用户”或“小部件”等元素，当通过浏览器查看时，这些元素会以有组织的“分页”（paginated）方式呈现。但这种方式可能会泄露敏感信息，如用户数据、资源列表等，为攻击者提供可乘之机。

防护措施：

可以限制展示分页和资源列表的显示，以避免数据被恶意抓取。例如为查看特定资源的API调用指定一个时间段。或者，为用户设置API访问密钥，并限制API密钥可能被使用的次数，超过次数将撤销访问并阻止API连接。

3、未经身份验证的API

许多企业中存在大量历史遗留应用程序，这些应用程序使用的API往往未经身份验证，使得攻击者可以轻易访问和利用这些API。

防护措施：

强制进行API身份验证，以防止未经请求的API访问敏感数据资源。虽然它可能不是一个完善的解决方案，但实现身份验证可以控制API的访问范围，也能帮助IT管理人员在恶意访问尝试的情况下识别出访问入口点。IT团队还应该定期进行API检查，以确保足够的API安全性，特别是在升级遗留应用程序或报废与这些API相关的老旧设备时。

4、被获取API密钥

不同的应用系统进行交互时，就需要通过API进行连接，这时候就需要一个密钥进行安全性确认。开发过程中若是将API认证密钥直接嵌入到API中，之后也未及时删除的话，一旦这个API密钥被攻击者查询获得，就能够以关联合法用户的身份，进行各种非法操作。

防护措施：

一般的做法应该是只将密钥暴露给指定的用户。而从长远来看，在开发阶段就有效规范安全管理流程可以防止密钥泄露和恶意抓取等API应用威胁。

5、API监控不足

API应用缺少监控时，会给潜在的攻击者足够的时间来建立对受损API的访问并保持长期连接。根据OWASP的说法，组织检测修复漏洞的平均时间约为200多天，因此我们需要在更短时间里发现API应用的异常情况。

防护措施：
企业要对API的应用安全问题提高警惕，定期开展API安全应用审计，以确保足够的API日志记录和安全的日志存储。

四、如何提高API安全

涉及到API安全，我们需要考虑多个方面， 除了上述的一些常见措施之外，我们还可以考虑提前采用一些安全方案，做好API的安全。
德迅云安全建议使用WAAP安全方案，WAAP方案可以为企业提供各类Web、API业务等防御来自网络层和应用层的攻击，包括API防护和DDoS防护等。通过部署WAAP产品，企业可以有效防范多种类型的网络威胁，全面提升Web安全水位和安全运营效率。

WAAP如何提高API安全

1、风险管理

在事前阶段，结合安全专家服务，帮助企业发现并收敛Web业务安全风险。具有以下安全功能：

• 漏洞扫描
  通过漏洞扫描器对Web应用资产进行安全扫描，发现Web应用中存在的安全漏洞(OWASP TOP10、弱口令、CVE漏洞等)；
• 渗透测试
  派出安全专家，以黑客视角对目标系统进行非破坏性漏洞挖掘，清查目标系统潜在的安全隐患；
• 智能化防护策略
  平台基于客户业务的智能化分析，可自动适配防护策略，实现开箱即用；
• API资产盘点
  基于流量分析，帮助企业从流量数据中发现尚未掌握的API业务，形成API资产清单，为后续的防护工作做好资产盘点；

2、全站防护，在事中阶段，从网络安全、应用安全、业务安全、API安全各层面，为Web应用提供全面安全防护闭环，具有以下安全功能：

• DDoS防护
  秒级检测专利技术，在边缘实时清洗网络层DDoS攻击；
• CC防护
  基于AI的流量行为分析技术，实现对应用层CC攻击的秒级检测及防御；
• API安全
  针对API应用进行精细化的管理和防护，规避API滥用行为、防止数据泄露；
• Web攻击防护
  覆盖OWASP Top10的各类Web攻击防护，基于CDN的分布式算力提供弹性防护和海量IP封禁，同时支持与源站本地防护联合决策提高防御精度；
• 全站隔离
  基于远程浏览器隔离技术使网站源代码不可见，从而主动隐藏网站攻击面，同时结合混淆访问路径、加密交互内容等技术，实现对0day漏洞攻击的有效屏蔽；
• 协同防护
  通过全站防护管理平台，对网络L3-L7层各防护模块的安全策略进行统一管理，并通过数据聚合、情报协同，形成真正的纵深防护，简化运营工作的同时进一步提升整体安全的防护水位。

3、安全运营，在事后阶段，以降低风险为目标，全站防护管理平台提供体系化的安全运营能力，帮助企业夯实全周期风险管理闭环，具有以下功能：

• 全面的安全态势
  聚合各防护模块数据，以简洁、贴近业务的形式呈现，用户可总览web安全态势，主动感知和响应已知安全事件；
• 持续优化的托管策略
  结合平台实战对抗经验和持续的攻防研究成果，管理平台持续提供推送更高质量的防护规则和策略建议，对业务防护策略进行优化，与黑产持续对抗；
• 安全专家运营
  德迅云安全资深安全专家提供策略优化、应急响应、重保等专项安全服务，同时对客户风险的持续监测与防护管理。
  

五、总结

总之，API作为现代数字业务环境的基础组成，其安全性问题不容忽视。企业应根据自身实际情况制定合适的安全策略和技术措施，确保API的安全性和稳定性。随着技术的不断发展和安全威胁的不断变化，我们也需要跟安全专家合作，采用合适的WAAP安全方案，不断更新和完善API的安全防护体系。