APIs的安全性与挑战

关键要点

APIs是数字经济的基础，提升了服务整合与用户体验。APIs的开放性引入了安全风险，攻击面扩大。应对API安全挑战需全员参与，自动化测试，及对上下文的重视。

应用程序编程接口APIs在现代数字经济中扮演着重要角色，虽然对消费者而言并不明显，但它们构成了当今数字体验的基础。无论是通过银行应用直接查看信用评分，还是在最近的零售商处提取在线订单，亦或是在机场获取实时航班状态更新和登机口变化，APIs在这些“全渠道”功能的背后发挥着关键作用。

APIs促进了不同平台和设备之间的无缝整合，确保数据在不同系统之间顺畅与安全地流动，从而提供了现代数字消费者所要求的个性化、实时和直观的体验。

然而，安全风险是不可忽视的。API的开放性虽然令其广泛适用，但同时也扩展了攻击面，导致恶意攻击者的目标变得更具吸引力。随着我们通过APIs不断增强其能力与功能，网络威胁的风险也随之加大。

与传统软件的可预测更新周期不同，APIs处于持续变更的状态。更新可能每天甚至每小时发生，这使得资源有限的安全团队很难全面了解其安全状况。根据一项近期研究，75的组织每天或每周都会对其APIs进行更改，而这一数字在未来几年只会增加，因为APIs在消费者数字体验中的角色日益重要。

此外，组织还面临着管理和维护急剧增加的APIs数量的挑战，通常大型企业的API数量预计在15000到25000个之间。APIs的数量与变化速度相结合，意味着安全漏洞可能迅速出现并被忽视。

APIs通常在身份验证和授权机制中使用，而大多数网络入侵正是在此开始。想象一个内部API在构建时没有强大的身份验证，因为它仅用于受信任的系统。如果该API被重新用于公共Web应用，而没有定期的安全更新，那就像是潜在的隐患，表面上看似正常，实则内部已经藏有麻烦。

另一个挑战在于API本身的特殊性。每个API都有独特的漏洞，使得传统的一刀切安全方法大多无效。利用API所需的努力远低于在传统软件中发现和利用零日漏洞的难度，因为APIs的开放性使得攻击者更容易接触。

威胁行为者将攻击APIs视为简单的数字游戏。传统应用安全依赖对代码和系统架构的深入理解，而攻击者则可以在不需要此类专业知识的情况下，对APIs进行探测。如果他们的探测未能发现漏洞，便可以轻松转向下一个目标，且这样的目标不计其数。

尽管存在诸多挑战，但越来越多的组织意识到API安全的重要性。一项调查显示，81的企业高管表示在过去12个月中，他们将API安全置于首位。但简单地将传统安全控制应用于单体软件无法覆盖API所独特的安全挑战。为了增强企业的API安全，以下三项原则至关重要：

原则说明全员参与API安全组织中的开发人员和产品负责人需要从设计阶段开始优先考虑安全性，而不是最后才想起安全。安全的APIs需要自动化测试自动化工具对于持续发现、测试和行为建模至关重要，手工方式缺乏扩展性。上下文同样重要关注APIs的业务上下文，而不仅仅是代码本身，能有效识别潜在风险。

综上所述，建立和