当API成为数字世界基础设施 安全市场或将催生新蓝海

当前，数字化转型正滚滚向前重塑全球经济与格局，数据、应用、设备在急剧增多，世界变得越来越杂乱无章，如何让数据流通更高效、应用集成更便捷、应用服务更安全？

API (Application Programming Interface，应用程序编程接口)作为连接服务和传输数据的重要通道，已然从简单的接口转变为IT架构，成为数字时代的新型基础设施。

根据Akamai的一项统计，API 请求已占所有应用请求的 83%，预计 2024 年 API 请求命中数将达到 42 万亿次。

但 API 安全威胁却比 API 调用

增长更迅猛

因性质使然，API 会暴露应用程序逻辑和个人身份信息(PII)等敏感数据，也正因为如此，API 逐渐成为恶意攻击者的首选目标，并通过非法控制和使用 API 接口窃取数据等。

近年来，API 安全隐患已经造成过大量影响广泛的社会性事件。

例如，Facebook 2020 年因 API 漏洞致使一个存 有2 亿余条记录的数据库被公开；微博 2020 年因 APP 的业务逻辑 API 被非法流量调用，导致 3.5 亿数据泄露；Instagram 2018 年由于其 API 存在漏洞，让黑客非法获取到许多高知名度用户的电话号码和电子邮件。

这些事件促使API安全问题得到越来越多的关注。OWASP 公布了排名前 10 的 APl 安全威胁，包含 API 接口鉴权失效、敏感信息展示不当、过度的数据暴露、第三方通过 API 违规留存数据等风险。

Salt Labs 最新发布的一份报告显示，在过去六个月中，API 攻击出现了前所未有的激增，每月 API 调用率增长了 141%，而恶意流量增长了 348%。

Gartner 直接预测，到 2022 年，API 滥用将是最常见的攻击方式。

API 安全问题为何会如此严重？

星阑科技 CEO 王郁曾在相关演讲中解释，每一种新技术的使用，都会产生崭新的攻击面，从而带来安全管理和安全技术的问题。

而 API 面临的环境比传统 Web 安全更为复杂，不仅需要保障 API 服务及其运行环境的安全，在 API 的请求发起端还有相应的客户端及应用程序，同时 API 连接了广泛的 IoT 设备，其通信环境相当复杂。而且，API 生态的多方性将导致安全责任分配不清，无人监管。

由于业务交互、数据交互、人机交互、数据流转、三方合作生态、云原生体系都是运行在API上，因此，API 安全其实是交叉方向上的新生复杂安全问题，是 API 经济背景下各方面安全风险与能力的汇总。

细数 API 安全防御实践

为了提高 API 安全性，根据 OWASP 提出的 API 威胁，需实施的防护措施应包含有效的身份认证、可控的访问授权、针对特定数据返回结果的筛选、访问异常行为检测及响应等等。

在工具方面，API 安全网关是多数企业习惯选择保护 API 安全的手段。API 安全网关可以利用流量过滤以及监控等方式对入侵进行检测并防止黑客攻击，在国内市场，派拉软件、瑞数信息、白山云科技等安全厂商均有相关产品推出。

派拉软件 API 安全网关平台产品架构

瑞数信息 API 安全管控平台

瑞数信息 API 安全管控平台

左右滑动查看更多

与此同时，国内也已经涌现专注于 API 安全赛道的专攻型厂商。聚焦于该领域的星阑科技认为，面对复杂又具有交叉性的 API 安全问题，解决方案将会是一个多层的结构，包括 API 网关在最外层解决访问控制、通信加密的问题，中间层解决相关防火墙的问题，以及内层对数据流程管控、业务流程分析、复杂场景人机交互识别和异常检测等。

其推出的 API-Intelligence 安全分析平台采用大数据分析+异步实时阻断的方式，提供全景化 API 识别、API 高级威胁检测、复杂行为分析等能力，构建 API Runtime Protection 体系。

星阑科技 API-Intelligence 安全分析平台

综合型厂商也不乏布局API安全的身影。安恒信息借鉴零信任思想，推出以API安全管控系统为核心的API安全防护解决方案，在不改造现网API的情况下为API提供安全防护能力。

利用可信身份鉴别、权限管控、接口访问监控、接口数据脱敏、流量管控、国密算法等核心技术，通过为访问API的用户、应用系统构建统一的可信数字身份，保护API不受未认证、未授权访问及中间人攻击，并实现对API违规访问行为的检测预警，最大程度降低潜在的共享数据泄露风险。

安恒信息 API 安全防护解决方案

新时代下的新机遇

API安全问题日益突出，正在让这个常见但又还不为人熟知的安全挑战成为一片新的蓝海市场。

关于API安全的市场及未来，据苹果资本创始人胡洪涛介绍，目前API管理的全球市场已经达到10亿美金，根据Adroit市场报告显示，到2028年API管理市场总规模216.8亿美金，其中API安全占了30%， 所以无论是国内还是国外，API安全的市场都具有无限的潜力。

在未来，实现全链条的API调用跟踪，利用大数据和AI的方法来解决API的问题也将是未来的必然趋势。很多API通信标准，例如RESTful API，已经在物联网、微服务、云原生等场景都得到了非常广阔的应用。

THE END

// 推荐阅读