云安全洞察丨應(yīng)對API威脅，Akamai為企業(yè)提供一套組合拳

在今日產(chǎn)業(yè)互聯(lián)與融合創(chuàng)新趨勢下，現(xiàn)階段企業(yè)的業(yè)務(wù)體系正日益依賴于API能力。流量密集與交匯之地，正是網(wǎng)絡(luò)犯罪分子蜂擁之地。應(yīng)對API日漸嚴峻的安全挑戰(zhàn)，Akamai全面匯總、沉淀了一整套防范API安全攻擊手段的精要策略與建議，助力企業(yè)更好地保護數(shù)字化資產(chǎn)。

“根據(jù)Akamai的觀察，API流量占據(jù)互聯(lián)網(wǎng)主要流量形式的80%以上。過去一年，API攻擊更是增長超過287%，凸顯了API濫用對企業(yè)的嚴峻挑戰(zhàn)。”

——Akamai大中國區(qū)產(chǎn)品市場經(jīng)理

劉炅先生

API攻擊的“大隱隱于市”

分析API攻擊的具體手段，如果企業(yè)僅聚焦于治理API漏洞，依然易受到API濫用侵擾。原因在于攻擊者通過各種手段濫用API的正常功能，而非利用技術(shù)漏洞，使得這類攻擊更具隱匿性。針對此攻擊特質(zhì)，企業(yè)更需全面了解如下API高頻攻擊手段。

API安全常見攻擊手段

·API濫用攻擊

攻擊者通過利用API正常功能，用于頻繁調(diào)用敏感操作等惡意目的，導(dǎo)致服務(wù)不穩(wěn)定、性能下降或數(shù)據(jù)泄露。攻擊者還通過多種方式展開API濫用攻擊，包括使用大量請求進行DDoS攻擊，試圖使目標(biāo)系統(tǒng)超負荷，導(dǎo)致服務(wù)不可用。

·SQL注入攻擊

如果企業(yè)應(yīng)用程序沒有正確過濾和處理用戶輸入，攻擊者會嘗試通過輸入惡意字符串來進行SQL注入攻擊，繞過正常的身份驗證，訪問數(shù)據(jù)庫中的信息或執(zhí)行其他惡意操作，獲取敏感信息或破壞數(shù)據(jù)完整性。

·跨站腳本（XSS）

XSS攻擊目標(biāo)是竊取用戶信息、劫持用戶會話、篡改網(wǎng)頁內(nèi)容等。攻擊者向API輸入特定參數(shù)實現(xiàn)對Web應(yīng)用程序中注入惡意腳本，當(dāng)其他用戶通過API獲取數(shù)據(jù)時，腳本會在瀏覽器中執(zhí)行，可能會導(dǎo)致信息泄露或會話劫持。

·身份驗證漏洞

身份驗證漏洞是系統(tǒng)在驗證用戶身份時存在的安全問題，可能導(dǎo)致未經(jīng)授權(quán)的用戶或攻擊者獲得對系統(tǒng)、應(yīng)用程序或敏感信息的訪問。黑客可通過繞過登錄認證訪問敏感API端點，進行惡意數(shù)據(jù)訪問、篡改等攻擊。

構(gòu)建API防御體系，需要從長計議

應(yīng)對復(fù)雜的API濫用威脅，企業(yè)亟需采用足夠復(fù)雜的安全控制。日常安全運營中，企業(yè)需拓展對API攻擊的思考；同時通過分析更多API數(shù)據(jù)，提高對潛在威脅的識別能力；接下來，再以先發(fā)制人的可見性，及時采取安全措施。

API安全注意事項

·綜合布防

為確保API安全，企業(yè)可采用綜合的防御策略，可以通過API安全解決方案實現(xiàn)全面的API可見性，監(jiān)控API的訪問情況、使用方式和異常行為。

·強化身份驗證與授權(quán)

實施多因素身份驗證等完善機制，降低身份驗證漏洞的風(fēng)險；通過持續(xù)的API發(fā)現(xiàn)機制，維護準確的API清單，并通過系統(tǒng)化的工作流程對新API進行管理和監(jiān)控。

·善用行為分析技術(shù)

從OWASP API安全Top 10等方面入手，進行安全審計和漏洞掃描。通過行為分析技術(shù)，分析大型API流量數(shù)據(jù)集，實施異常檢測。引入擴展檢測和響應(yīng)（XDR）原則，通過行為分析和威脅搜尋等技術(shù)，全面提升對API安全性的防御水平。

·全員警惕API威脅

加強員工和開發(fā)者的安全意識，通過定期培訓(xùn)了解實時更新的API安全威脅和防御技術(shù)，降低社交工程和人為失誤引起的風(fēng)險。

風(fēng)險之下，全方位、多層次、長周期的防御策略，方為安全運營良策。建議企業(yè)綜合應(yīng)用Akamai零信任安全、應(yīng)用程序和API安全性與基礎(chǔ)設(shè)施安全產(chǎn)品組合，基于Akamai全球平臺的威脅可視性，超越風(fēng)險增長態(tài)勢，更好地保護企業(yè)的數(shù)據(jù)安全與業(yè)務(wù)發(fā)展。