基于業(yè)務(wù)場景，識別API安全的薄弱環(huán)節(jié)

在數(shù)字時代的新型基礎(chǔ)設(shè)施中，作為連接服務(wù)和傳輸數(shù)據(jù)的重要通道，API已成為企業(yè)安防的重點區(qū)域以及黑客發(fā)起攻擊的聚焦點。近期，Akamai發(fā)布互聯(lián)網(wǎng)現(xiàn)狀報告《潛伏在陰影之中：攻擊趨勢揭示了API威脅》。研究發(fā)現(xiàn)，去年全球高達29%的Web攻擊都是針對API發(fā)起的。

針對業(yè)務(wù)邏輯的API攻擊

從全球受威脅的垂直行業(yè)分布來看，商務(wù)行業(yè)以及電商、金融、制造業(yè)等領(lǐng)域，均成為API攻擊的“重災(zāi)區(qū)”。Akamai北亞區(qū)技術(shù)總監(jiān)劉燁先生，分析原因時指出，此類行業(yè)與上下游伙伴的業(yè)務(wù)交互大多依靠API調(diào)用。

OWASP API Top10安全隱患顯示，API攻擊大多與業(yè)務(wù)邏輯相關(guān)，攻擊者通過找到API交互過程中的業(yè)務(wù)邏輯漏洞，來發(fā)起攻擊會造成巨大影響。在金融行業(yè)的安全事件中，若API交互比較復(fù)雜，存在攻擊漏洞，可能會造成資金賬戶信息泄露。

攻擊手段上，API攻擊者大多針對HTTP協(xié)議本身的漏洞發(fā)起攻擊，以及Active Session、數(shù)據(jù)挖掘、本地文件包含的攻擊形式。多樣化API攻擊方式，也致使企業(yè)的防護難度不斷升級。整體來看，安全問題逐漸從基礎(chǔ)層面轉(zhuǎn)向業(yè)務(wù)邏輯漏洞，會繞過現(xiàn)有的安全防護，直接竊取更重要的核心資產(chǎn)。

全方位守護企業(yè)API資產(chǎn)

黑客所向，企業(yè)所防。針對以業(yè)務(wù)邏輯為突破口的API攻擊，劉燁先生表示企業(yè)應(yīng)該重點關(guān)注可視性、漏洞風險和業(yè)務(wù)邏輯。首先，確保安全人員了解所有API接口目的和用途；其次，開發(fā)過程中要遵循最佳實踐、減少漏洞存在并及時補救；最后，關(guān)注業(yè)務(wù)邏輯基線，審視、判斷異常業(yè)務(wù)活動。

在產(chǎn)品布局方面，Akamai通過收購Neosec公司，并將其產(chǎn)品升級為Akamai API Security解決方案，支持企業(yè)全面掌握API資產(chǎn)狀態(tài)，針對每個API進行風險審計，通過執(zhí)行行為分析檢測風險威脅，為用戶提供強有力的API安全保障。整合安全資源方面，Akamai也在積極拓展規(guī)模，預(yù)計將于2024年第二季度完成對知名API安全防護供應(yīng)商Noname的收購，以滿足業(yè)界日益增長的API防護需求。

面臨企業(yè)API使用量與黑客攻擊體量的急劇增加，Akamai建議不同行業(yè)的企業(yè)組織，優(yōu)先考慮和保護API核心資產(chǎn)安全，防范潛在的攻擊風險。Akamai API Security助力防范業(yè)務(wù)邏輯漏洞之外，Akamai還提供ShadowHunt服務(wù)，主動發(fā)現(xiàn)風險點和潛在攻擊者，為用戶提供全面、深入的安全防護。