api 安全认证「API安全实践：建设API安全监测平台，保障企业数字化业务安全」

随着微服务架构的普及、开发向低代码/无代码转变，API的应用持续扩大。据统计，API请求已占所有应用请求的83%，预计2024年API请求命中数将达到42万亿次，API已经成为数字世界的基础设施。与此同时，API攻击呈现爆发态势。2021年API攻击流量增长了681%，而整体API流量增长了321%。既要API的开放，又要API的安全，成为了企业开展数字化业务的“两难困境”。

一、企业面临的API安全挑战

为了保障API安全，企业纷纷将建设API安全防护体系提上日程，将其视为网络安全建设的新课题、新方向。但在实际建设过程中，API的特性给企业带来了一些列的挑战。

首先，API类型多、数量多。有研究显示，每家企业平均管理超过350种不同类型的API，单个复杂业务应用的API数量可达10W级。随着企业业务数字化水平的持续提升，API的类型和数量化还在快速增长中。

其次，API安全漏洞多、访问流量大。不同类型的API存在不同的安全漏洞。由于API资产规模庞大、类型繁杂，企业往往难以及时修补这些漏洞，也难以及时相关的攻击行为。

最后，API传输的敏感数据多，威胁感知难。API中传输着大量敏感数据，企业难以感知哪些敏感数据被访问，出现访问异常后也难以实时阻断，并对威胁进行分析溯源。

面对这些API安全风险，建设API安全监测平台，借助平台统一管理API安全资产、监测API攻击、保障数据安全成为了企业的必然选择。

二、API安全监测平台

API安全监测平台是企业管理API资产、保障API安全的工具，通常采用旁路部署，使用探针监测、分析网络和业务应用的API镜像流量。API安全监测平台通常具备API资产发现、API资产画像、API脆弱性发现与修补、API攻击监测、数据安全分析等功能，帮助企业建立API安全监测体系，保证自身的网络安全与业务安全。

API安全监测平台的核心功能如下：

1. API资产发现

API资产发现是API安全监测平台的基础功能。API安全监测平台基于流量基线和数据模型，自动发现API资产，对API进行梳理、分析和分类，建立API资产画像，以可视化方式展现API信息。

2. API脆弱性分析

API安全监测平台能够自动分析和发现系统中API的脆弱性问题，对API存在的越权、注入、失速和敏感数据暴露等漏洞进行检测，并提供对应的修补方案。

3. API攻击监测

能够实时监控API访问情况，分析流量数据，识别风险行为，发出攻击报警。平台提供对API攻击的分析、溯源功能，帮助企业实现对API风险行为的全生命周期管理。

4. 数据安全分析

API安全监测平台能够依照数据识别规则，检测API接口中双向传输的敏感数据。针对命中风险事件的IP、账号，平台能够联动其它安全产品，进行主路实时阻断。平台支持对敏感事件的访问取证，安全人员可对敏感数据进行追踪溯源。

三、API安全监测平台应用场景

API安全监测平台偏重于API安全的监测，多与偏重于策略与响应的API安全网关配合使用，在Web应用安全、企业内网安全、数据安全等场景下，保障企业数字化业务的安全。

1. Web应用安全

企业的Web应用通过API向合作方提供数据、服务。API安全监测平台能够对Web API进行脆弱性分析，检测API安全漏洞，并给出修补方案；能够实时监控Web API的访问情况，分析流量数据，基于API威胁模型识别风险行为并发出报警。

2. 企业内网安全防护

针对企业内网中业务应用与业务应用之间的API，以及应用内部功能模块之间的API，API安全监测平台能够自动发现API资产，对API资产进行梳理、分类和聚合，完成API资产画像，帮助企业实现对API的全生命周期管理。

API安全监测平台还能够完成API脆弱性分析、监测API攻击、识别敏感数据，帮助及时发现和处理潜在的API安全问题。

3. 数据安全防护

API安全监测平台应能自动识别API接口中双向传输的敏感数据。针对命中风险事件的IP、账号，平台能够发出警报并联动其它安全产品，进行主路实时阻断，保障企业数据安全。

API安全监测平台支持对敏感事件的访问取证，安全人员可对敏感数据进行追踪溯源。

四、API安全监测平台应用实践

某运营商采用芯盾时代API安全监测平台管理企业的API资产，对原有API资产进行了全面的梳理，以功能、应用等多种维度聚合同类API，形成分类明确、路径清晰的API资产树，构建API资产画像，建立“全局可视、单点清晰”的API资产管理体系。借助API安全监测平台，实现对所有API进行脆弱性分析，修补了大量的API安全漏洞，有效提升了API安全水平。