350种类型、10W+量级的API，企业应该怎么管？-电子发烧友网

忽如一夜春风来，万物皆可API。在互联网时代，API无处不在：企业对外开放的数据、服务和业务能力，以API的形式提供给合作方；企业内部应用与应用、App与App之间的通信，通过API进行；甚至应用内部的各模块之间，也通过API连接在一起。随着微服务架构的普及、开发向低代码/无代码转变，API的应用范围还在持续扩大中。毫不夸张的说，不会利用API做产品、搞开发，你就OUT了。让人始料不及的是，API竟然成了黑客眼中的“香饽饽”。今年一季度的一项研究显示，过去六个月中，针对API的攻击增加了400%。顺着API这个自动化的“窗口”，摸进企业的Web应用和内网，已经成为了黑客最喜欢的攻击方式之一。企业业务离不开API，API攻击有不好防。如何建立API安全防护体系，成为了企业不得不面对的问题。

API安全为什么如此难搞？

想弄清企业如何建设API安全防护体系，先要弄清API面对哪些安全威胁。API，是应用程序之间的交互接口，一旦封装完成，API就能自动接受请求、发送响应。如果把企业的业务应用视为一家餐厅，那么API就是点餐窗口。你作为客人，无需走进厨房告诉厨师你的豆腐脑是甜口还是咸口，只要在窗口说明你的需求，厨师就能按照你的要求做好菜，最终送到你的餐桌。如果一家企业只有一个API，API安全不难保障。如果企业只有一种API，安全挑战也容易应对。但随着企业的业务应用快速增加、应用的功能越来越丰富、应用的架构越来越复杂，API的功能、类型、数量开始爆炸式增长。有研究显示，每家企业平均管理超过350种不同类型的API，单个复杂业务应用的API数量可达10W级。还是用点餐窗口举例。一家餐厅有上万个点餐窗口，有的窗口专卖汉堡，有的窗口专卖鱼香肉丝；有的窗口谁用都行，有的窗口需要先验明身份；有的窗口一小时接待1万人，有的窗口1个月没人来...... 身为一个中国人，你一定知道，不管多么小的问题，乘以10W，都会成为很大的问题。如果你是餐厅经理，面对10W+点餐窗口，是不是一个头两个大？但这只是API安全问题的第一个难点，类似的难点还有很多。每一个API都可能存在安全漏洞，有的漏洞没被发现，有的漏洞没来得及修补，每个漏洞都有可能被黑客利用。针对API的攻击方式层出不穷，注入攻击、DDoS、信息遍历、乱序攻击……一波还未平息，一波又来侵袭。更让人头疼的是，新的API不断上线，老的API还没下线，本来就混乱的API资产持续扩大……这些问题最终搅在一起，让企业的API像一团麻，总有那解不开的小疙瘩。

API安全应该怎么搞？

弄清了API安全为什么难搞，就能对症下药，破解企业的API安全难题。首先，要摸清企业的API资产现状，弄清企业有多少个API、有哪些类型的API，这些API的IP是什么、功能是什么，哪些API在使用、哪些API已停用。摸清这些之后，就能建立API资产管理体系，更好的管理API。面对海量的API，单凭人工无法完成这项工作，效率更高的AI是企业唯一的选择。其次，要监测API现有的安全漏洞，并持续发现新出现的API漏洞。针对现有漏洞，要给出修补方案；针对未知漏洞，要持续更新漏洞库，保证对新型漏洞的检出能力。再次，能够检测针对API的攻击。企业不但需要防范已知攻击，还要及时对新型攻击做出响应，这要求API安全产品不但要具备丰富的威胁模型，还要具备应对未知风险的能力。最后，准确识别通过API传输的敏感数据，对数据进行脱敏、加密处理。一旦发现风险事件，实时阻断数据主路，避免敏感数据被窃取。总的来说，面对类型超过350种、数量难以统计的API，企业一键三连远远不够，一键四连才能满足基本需求。

芯盾时代API安全监测平台

面对难搞的API安全，芯盾时代作为领先的零信任业务安全产品方案提供商，给出了自己的答案——以AI技术赋能API安全，打造API安全监测平台，帮助企业建立资产摸得清、漏洞看得透、攻击测得出、数据拦得住的API风险监测体系，保障企业业务系统的安全和稳定运行。芯盾时代API安全监测平台安全平台，具备以下功能——1.API资产梳理芯盾时代API安全监测平台能够基于结合机器学习的API流量基线与自主研发的划分引擎，自动持续发现API资产，以功能、应用等多种维度聚合同类API，形成分类明确、路径清晰的API资产树。平台支持多文件导入，便于新应用、新版本API资源的快速上传，与API自动发现形成互补，让企业的API资产管理无死角。

平台基于流量分析构建API资产画像，从全局API资产、应用API信息、单个API三种粒度，以可视化的方式展现各种API信息，为企业建立“全局可视、单点清晰”的API资产管理体系。

2.API脆弱性分析芯盾时代提供主动人工检测漏洞和被动流量脆弱性分析两种方式。针对实时流量中存在的异常行为，API安全监测平台提供丰富的样本库，自动分析和发现系统中存在的脆弱性问题。同时，芯盾时代提供人工渗透测试，对API存在的越权、注入、失速和敏感数据暴露等漏洞进行检测，帮助企业建立动态API安全防线。3.API攻击监测API安全监测平台能够实时监控API访问情况，分析数据流量，通过内置的API威胁模型识别账号暴力破解、未授权访问等风险行为，通过机器学习技术对攻击进行建模、学习，持续扩展攻击检测能力，智能识别新型攻击。安全人员可借助平台对攻击进行分析、溯源，实现对API风险行为的全生命周期管理。

4.敏感数据感知芯盾时代API安全监测平台内置敏感数据检测引擎，覆盖姓名、手机号、身份证号、银行卡号等敏感数据类型。安全人员可自定义敏感数据识别规则，实时洞察API接口中双向传输的敏感数据，并针对命中风险事件的IP、账号，进行主路实时阻断。平台支持对敏感事件的访问取证，安全人员可对敏感数据进行追踪溯源。