近日，Akamai 发布的互联网现状(SOTI) 报告——《潜伏在阴影之中：攻击趋势揭示了 API 威胁》重点指出，在 2023 年 1 月至 12 月期间，针对 API 的攻击非常多，其中 全球有高达 29% 的 Web 攻击都是针对 API 发起的。在所有行业中，金融和商业服务的 API 攻击风险最为严峻并已成为重灾区，占所有 Web 攻击的比例将近三分之一 (31.2%)，同时媒体和高科技制造行业的风险也不容忽视。由于 API 能够使软件、系统和设备之间进行通信并有助于提升员工和客户的体验，因此对于大多数企业而言 API 都至关重要。企业越来越依赖 API，但同时也面临有效保护 API 方面的挑战，因为企业在快速开发与部署 API 等新技术时往往难以兼顾安全方面的因素。Akamai 预测，随着 API 使用量的增加，针对 API 的攻击将急剧增加。因此，Akamai 强烈建议各企业优先考虑和保护其 API安全，以防范潜在的攻击风险。

为什么现在针对API的攻击，企业防御存在一定难度？是因为这些攻击不是靠签名就可以防护的针对传统注入类型的攻击，而是通过找到API交互过程中的这些业务逻辑漏洞来发起攻击。在OWASP 2023年发布的API Top10的安全风险中，新加入的都是与业务逻辑有非常多关联的风险。由于现有的防护手段并不完善，基本防护工作的不足导致安全问题逐渐从基础层面转向业务逻辑漏洞，这种变化使得攻击者的攻击效率更高。

API滥用已经成为一个严重问题，因为在缺乏 API 行为基线的情况下，识别异常的 API 活动变得尤为困难。企业若缺乏解决方案来监视 和识别API 活动中的异常情况，将面临运行时被攻击的风险。例如，数据抓取作为一种新兴的数据泄露媒介，可利用经身份验证的 API 从企业内部缓慢窃取数据。企业需要建立自己的基线和模型。

企业做API防护，应该从哪些地方着手，关注点应该是什么？  Akamai北亚区技术总监刘烨建议从三个方面入手。

Akamai北亚区技术总监  刘烨

1.可视性。企业必须确保其使用的 API 得到妥善发现与记录，并全面监控其用途与潜在风险；

2.漏洞。尽可能减少上线应用的潜在漏洞。在企业开发的过程中，要遵循最佳实践，减少风险点；

3.业务逻辑。用户有没有对业务逻辑的基线？攻击是变化多样的，它不仅针对应用本身，而且针对业务逻辑。针对业务逻辑的攻击可能获取更据价值的收入。

刘烨表示，Akamai API Security可以通过做行为分析，发现业务逻辑中可能存在的漏洞。API Security可以帮助用户观察以下这几种结果：

• 影子API发现：Akamai能够全面识别并列出所有可调用的API接口，确保用户对API的可见性。
• 易受攻击API识别：当API存在漏洞或风险点时，Akamai的解决方案能够迅速识别并发出警示，促使用户及时采取行动。
• API滥用检测与预防：通过监控API的基线行为，Akamai能够发现未经授权的访问、异常调用等滥用行为，并及时通知用户进行干预。

企业需要根据业务场景建立自己的模型和基线，然后判断是否存在针对特定业务场景的攻击。具体可以分为两部分：首先是针对传统注入类型攻击的签名防护，这与API开发技术密切相关。通过安全产品和更合理的开发，可以大大帮助企业解决安全隐患；在业务逻辑方面，需要建立在不同业务场景下产生的基线，然后确定哪些是异常情况。

在Akamai的整个体系里面，把防护内容分为几个方面，包括：保护员工、保护应用、保护基础架构，保护应用负责和保护API，这些可以帮助用户去解决API所带来的风险和问题。

企业API安全的防护难点在哪里？Akamai提供了如下的解决API风险的思路和建议。刘烨表示：对于“难点”来讲，首先是如何确定一个请求是否构成攻击，尤其当从技术上看起来符合合规、协议标准和访问权限时，如何建立基线以及将其与业务逻辑关联是防护的难点。针对这个问题，刘烨建议企业从以下六个步骤来实施防护：记录所有访问日志、进行API发现、实施审计、识别风险点、进行行为检测、快速响应以及事后调查和分析。

当前的数字化环境中，企业API安全防护显得尤为重要。然而，随着技术的不断进步，我们也看到了更新的解决方案和建议。希望未来有更多像Akamai一样的行业领先者，通过创新的产品解决方案，帮助企业有效地应对API安全的挑战，并确保其数字资产和业务运营的安全，并在数字化时代取得更大的成功。