2021年API成重大威胁，如何保护企业API安全？？

新冠疫病爆发以来，全球组织在数字变革中的步伐呈现出明显的加速趋势。谷歌发布的《2021API经济报告》指出，2020年，近四分之三的机构继续投资数字转型，其中三分之二的机构加大投资或进行战略调整，实行数字优先战略。

数字转型的核心是将组织的服务、资产和能力包装在互联网服务中，使资源之间形成更强的连接和交互关系，释放原有资产的价值，提高组织的服务能力，其中API是非常重要的技术。

随着数字化进程的发展，组织大量使用API。开发了越来越多的应用程序，开放结构在创新场景中的使用也在增加。有数据统计，整个网站有83%的流量通过API访问。数据显示，44%的企业正在建设和维护100个以上的API，API流量正在迅速增加。

API在带来巨大便利的同时，也带来了新的安全问题，很多企业不知道自己的API开放了多少，是否被控制使用和有效使用，有什么样的安全风险和危险，更不知道。API安全受到业界和学术界的广泛关注，开放网络应用安全项目(OWASP)在2019年将API列为最受关注的十大安全问题。2020年，中国人民银行发布了《商业银行APP接口安全管理规范》，三大运营商也相开发者_JAVA百科继发布了API安全管理规范。

API安全带来的影响越来越大，传统API安全网关的部署和维护成本高，无法有效防护新的安全威胁。在此背景下，瑞数信息创新地发布了API安全管理平台APIBotDefender，致力于解决API面临的各种安全风险和挑战，实现API理财、攻击防护、敏感数据管理和访问行为管理，保护业务创新。

API安全的常见解决方案

许多企业都会参照OWASP十大项目做安全防护，但2019年OWASP发布的API安全十大项目发布的时间较短，许多企业还没能及时作出相应防护。由于API安全涉及的范围比较广，一些常见的安全问题并没有被列入其中，即使是对应API安全十大项目作出防护仍会有一些不足。

API安全市场也处于相对早期阶段，从目前的API安全市场来看，主要有两类API安全解决方案:

第一种，API安全网关方案。

API技术的兴起伴随着技术架构上的变化，由于Http协议的问题造成了很大安全隐患。为了保障安全，需要开发者在开发阶段针对API加入鉴权、认证以及防篡改方面的安全工作。同时，应配置API网关等安全防护产品。

2015年前后，市场上出现了以独立的API网关为中心的API安全解决方案，但在实际应用中，该方案落地困难，成本高，企业倾向于使用应用开发人员建立的API网关，专业基于API网关的API安全方案没有取得预期的成功，API网关的产品形态继续发展。

在Gartner最新的WAF魔力象限中，提到了结合Web应用和API防护服务的最新趋势WAAPP，这是一个集DDoS、Bot缓解、API防护和WAF于一体的安全防护平台。Gartner打算结合WAF和API防护能力，很多WAF制造商开始在WAF中整合API网关。

作为安全产品形态的自然进化，其主要问题是缺乏数据分析和管理能力。

第二种是基于数据分析的API安全方案。

通过AI技术分析API访问行为，发现API的各种异常访问行为，提供API的管理。与API安全网关方案相比，该方案缺乏安全威胁的预防管理能力。

瑞数信息应对之路瑞数API安全管理平台

瑞数信息于2019年推出具有API感知、发现、监视、保护能力的API安全解决方案，今年将该能力集中在API安全管理的4个核心功能上，形成瑞数API安全管理平台(API的BotDefender)作为国内最早发表API安全管理解决方案之一的制造商，它充分体现了瑞数信息对市场的观察和理解:

瑞数信息API安全管理平台，主要面向新兴的API安全风险，弥补了传统方案的不足。在技术路线上，不是选择传统的API网关技术，而是结合WAF的安全管理能力和数据安全分析能力，是结合上述两种API安全方案优势的新方案。

理财模块

通过引入API理财，实现对API资产的统一管理。API理财是根据数据建模自动发现被保护网站的API资产，对API资产进行梳理、分析和上下线，帮助客户实现API资产的生命周期管理。

攻击防护模块

综合利用智能规则匹配和行为分析的智能威胁检测引擎，不断监控和分析流量行为，有效检测威胁攻击。智能化威胁检测引擎在用户与应用互动的过程中搜集数据，并利用统计模型来确定HTTP请求的异常。一旦确定异常情况，智能发动机就会使用机器学习获得的多种威胁模式来确定异常攻击。

敏感数据管理模块

识别API传输中的敏感数据，对敏感数据进行脱敏或实时拦截，防止敏感数据泄漏。

　　访问行为管控模块

对API接口的访问行为进行分析，通过多维度建立API访问基线、API威胁建模，发现恶意访问行为，避免恶意 访问造成的业务损失。

　　主要应用场景

　　API资产自动发现

API安全管控平台通过对访问流量进行分析，自动发现流量中的API接口，实现API接口自动识别、梳理和分组。

API攻击防护

识别各种针对API的安全攻击，对安全攻击进行实时防护;对API请求参数进行合规管控，对不符合规范的请求参数实时管控。

API流量监视和保护

监视API的访问行为，保护高频状况等，防止高频状况等引起的API性能瓶颈。

非法API调用防护

通过从API网关获得API认证和认证数据，防止未经许可的API调用，保障API接口只能合法访问。

API滥用防护

防止API接口被滥用以获利。

API资产生命周期管理

对发现的API界面进行生命周期管理，基于关键词搜索功能快速分组，分组后对API资产指定负责人，实现API资产的导入和导出，资产的上下线。

API敏感数据管理

识别API传输中的敏感数据，模糊或实时拦截敏感数据，防止敏感数据泄漏。

未知API发现

通过API网关获取API注册数据，与API资产进行比较，发现未知API界面，防止未知API访问带来的业务访问压力，业务无法使用。

API访问行为管控

监控API界面访问和使用情况，包括成功率、性能等，通过建立多维访问基础和API威胁建模，监控基础偏离情况，有效识别异常访问行为，避免恶意访问造成的业务损失。

核心优势

瑞数API安全管理平台(API小姐BotDefender)可实现从API访问客户端到API服务器端的全过程API安全威胁保护。

API全自动发现

瑞数API安全管理平台(API上BotDefender)的Discover发现模块，可以快速自动发现API，并对发现的API进行明确认定

构建API图像

瑞数API安全管理平台(API-BotDefender)采用安全威胁保护技术，正确构建API图像

API全渠道感知

提供各种SDK，便于与各种API来源应用程序整合，够感知来源环境和用户行为。

动态响应防护

可根据行为分析的结果或指定条件，进行动态响应防护，提升通过逆向探测或机器学习分析等攻击手段的难度。

此外，瑞数API安全管控平台的部署方式非常灵活，支持软件、硬件和云的方式进行部署，可以大大降低部署、管理和维护成本。同时，占有资源少，不影响服务器的正常运行，可实现应用无感知配置。

目前，API安全问题在金融、政府、职业三大行业备受瞩目，瑞数API安全管理平台也以其突出的技术实力和防护能力，在该三大行业成功应用，全面帮助用户解决API安全水平的各种问题，保护业务创新和稳定