API加速了企業(yè)的數(shù)字化轉(zhuǎn)型，其控制軟件的交互方式，并在 Web、物聯(lián)網(wǎng)（IoT）、移動和 SaaS 應(yīng)用程序中聯(lián)通軟件，另外，API鏈接內(nèi)部系統(tǒng)，與其他業(yè)務(wù)聯(lián)系密切，并能夠促進(jìn)與合作廠商的共同創(chuàng)新。API作為連接數(shù)據(jù)與應(yīng)用的重要通道，成為了數(shù)據(jù)安全建設(shè)中不容忽視的環(huán)節(jié)。

　　影子API 風(fēng)險日益增加

　　企業(yè)會使用數(shù)百甚至數(shù)千個API，但其中許多API是IT團(tuán)隊所不知道也不了解的。此外，開發(fā)人員也可能忘記停用舊版或撤下已被替換的“僵尸”接口。這些影子API 會顯著增加企業(yè)的風(fēng)險，2019年，OWASP發(fā)布了API 安全中前十名的漏洞，包括對象級授權(quán)中斷、用戶身份驗證中斷和數(shù)據(jù)暴露過多等，隨著影子 API的擴(kuò)展，這些威脅向量將呈指數(shù)級增長。

　　Gartner預(yù)測到2022年， API攻擊將成為最常見的攻擊媒介，這會導(dǎo)致企業(yè)Web應(yīng)用程序的數(shù)據(jù)泄露。

　　需要影子API安全解決方案

　　企業(yè)通過使用軟件即服務(wù)（SaaS）平臺創(chuàng)建在線目錄以高效地發(fā)現(xiàn)和管理 API。在線工具支持實時發(fā)現(xiàn)并提供元數(shù)據(jù)，并顯示API 在上下文中的工作方式。具有聯(lián)機(jī)目錄的團(tuán)隊可以看到所有 API 的業(yè)務(wù)邏輯，以及流入流出API 的敏感數(shù)據(jù)。這些重要信息使 IT 和安全團(tuán)隊能夠?qū)嵤┯行У陌踩刂坪蜋z測簽名。如果他們檢測到 API 行為發(fā)生變化，這表明存在誤用或攻擊，IT 和安全專家可以迅速采取行動進(jìn)行補(bǔ)救或停用。

　　創(chuàng)建API 安全文化

　　由于企業(yè)的數(shù)字化業(yè)務(wù)在不停增長，開發(fā)人員不斷創(chuàng)建和應(yīng)用新的代碼。相關(guān)報告顯示，盡管大多數(shù)開發(fā)人員認(rèn)為他們的應(yīng)用程序是安全可靠的，但仍然存在許多易受攻擊的代碼。，其主要原因包括：

　　01 開發(fā)人員面臨著“截止日期”的交付壓力。

　　02 漏洞風(fēng)險低。

　　03 在軟件開發(fā)生命周期中發(fā)現(xiàn)漏洞太晚。

　　專家表示，使用在線目錄有助于創(chuàng)建DevSecOps文化。在該文化中，安全性是預(yù)先考慮的，開發(fā)人員可以使用聯(lián)機(jī)目錄跨外部 API、內(nèi)部 API 和微服務(wù)自動對單個應(yīng)用程序的請求進(jìn)行分布式跟蹤。

　　IT 和安全團(tuán)隊可以通過協(xié)作來加強(qiáng)應(yīng)用程序和 API 的安全性，并借助自動化流程以及整體和細(xì)粒度視圖，可以進(jìn)行更深入的分析、做出合理的安全決策以及主動修復(fù)漏洞。

　　增強(qiáng)智能化以提供更好的 API 保護(hù)

　　數(shù)字化的快速發(fā)展意味著隨著時間的推移，企業(yè)將使用更多的API。應(yīng)用程序和服務(wù)將變得更加互聯(lián)。專家表示采用零信任安全模型和發(fā)展DevSecOps是理想的選擇。

　　另外，使用在線目錄公開 API 生態(tài)系統(tǒng)可提供有價值的信息，相關(guān)團(tuán)隊能夠發(fā)現(xiàn)和管理所有 API，從而控制影子API，團(tuán)隊也可以分析每個 API 的業(yè)務(wù)風(fēng)險和潛在數(shù)據(jù)泄露，并確定修正工作的優(yōu)先級。這樣，IT和安全團(tuán)隊就可以追溯最終用戶的使用情況，確定API是否受到對手的攻擊以及其所在的位置。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<