業(yè)務(wù)情報和 API 數(shù)據(jù)安全方案廠商永安在線于近日發(fā)布《API安全建設(shè)白皮書》（以下簡稱：白皮書），對 API 在現(xiàn)代 IT 業(yè)務(wù)系統(tǒng)中所起到的關(guān)鍵作用，以及普遍應(yīng)用下的安全挑戰(zhàn)作出了詳細介紹，為應(yīng)對 API 安全挑戰(zhàn)，白皮書提出了“API 全生命周期安全防護模型”，以供企業(yè)建設(shè)安全的 API 提供參考。

　　該白皮書指出，API 全生命周期安全防護包含 API 從設(shè)計到開發(fā)，再到測試、上線運行、迭代及下線共計六個階段，利用全生命周期理念來考慮 API 的安全性，通過安全左移方法和工具，綜合性的融合管理手段和技術(shù)手段進行 API 安全治理，可提高業(yè)務(wù) API 的整體安全性。

　　永安在線COO邵付東談及了此次《API安全建設(shè)白皮書》發(fā)布初衷，以及企業(yè) API 安全建設(shè)難點，正確的 API 建設(shè)路徑等諸多問題。

　　企業(yè)普遍缺乏API安全實踐

　　已成數(shù)據(jù)安全最大風(fēng)險敞口

　　邵付東表示，鑒于 API 安全本身的重要性，以及近些年來因 API 保護不當(dāng)所引起的諸多安全事件，這需要企業(yè)能夠系統(tǒng)地去解決 API 安全問題。永安在線則通過自身多年對 API 安全的理解和實踐經(jīng)驗，梳理了通過 API 全生命周期安全防護的 API 安全建設(shè)之路，希望企業(yè)能夠從中有所借鑒，這也是發(fā)布《API安全建設(shè)白皮書》的初衷。

　　該白皮書指出，API 是數(shù)據(jù)交互最重要的傳輸方式之一，也因此成為攻擊者竊取數(shù)據(jù)的重點攻擊對象。白皮書引用相關(guān)數(shù)據(jù)表示，數(shù)據(jù)泄露事件中有三分之二是由不安全的 API 造成的。據(jù)預(yù)測，到 2022 年，API 濫用將成為導(dǎo)致企業(yè) Web 應(yīng)用程序數(shù)據(jù)泄露最常見的攻擊媒介，甚至在 2024 年 API 安全問題引起的數(shù)據(jù)泄露風(fēng)險將翻倍。

　　所以白皮書在梳理 API 面臨的主要安全問題時，也首次提及了來自監(jiān)管合規(guī)方面的挑戰(zhàn)。其認為大多數(shù)企業(yè)在數(shù)據(jù)的流動訪問方面的安全建設(shè)意識正逐步萌芽和發(fā)展，而 API 作為連接數(shù)據(jù)與應(yīng)用的主要通道，正成為數(shù)據(jù)傳輸中最薄弱的環(huán)節(jié)之一。

　　邵付東告訴安全419，金融行業(yè)有明確的 API 安全建設(shè)標(biāo)準(zhǔn)（金融行業(yè)標(biāo)準(zhǔn) JR/T 0185-2020《商業(yè)銀行應(yīng)用程序接口安全管理規(guī)范》），但整體來看，各行業(yè)在 API 的安全防護上還是比較薄弱的。隨著數(shù)字化發(fā)展，API 數(shù)量劇增，現(xiàn)階段 API 架構(gòu)的安全建設(shè)相對滯后，API 的增速與其安全發(fā)展的不平衡，使其成為企業(yè)數(shù)據(jù)安全最大的風(fēng)險敞口。

　　業(yè)務(wù)優(yōu)先和API安全意識薄弱

　　是API安全建設(shè)核心難點

　　在談及企業(yè)在進行 API 安全建設(shè)時存在的難點時，邵付東從多方面的經(jīng)驗梳理總結(jié)了以下兩點見解：

　　第一，大部分企業(yè)客戶優(yōu)先考慮的是業(yè)務(wù)快速迭代發(fā)展，安全隨著業(yè)務(wù)的發(fā)展才會慢慢被重視；第二，企業(yè)對 API 安全建設(shè)的重要性認識仍顯不足，這也直接造成了企業(yè)普遍存在諸多的 API 安全隱患。

　　白皮書曾對 API 的重要性做出如下總結(jié)：在當(dāng)今應(yīng)？程序驅(qū)動的世界中，創(chuàng)新的？個基本元素就是 API。從銀？、零售、運輸?shù)轿锫?lián)網(wǎng)、自動駕駛汽車和智慧城市，API 是現(xiàn)代移動端、SaaS 和 Web 應(yīng)用程序的關(guān)鍵部分，企業(yè)在面向客戶、面向合作伙伴和機構(gòu)內(nèi)部的應(yīng)用程序中隨處可見 API 的使用。從本質(zhì)上講，API 暴露了應(yīng)用程序的邏輯和敏感數(shù)據(jù)，如個人身份信息，正因如此，API 越來越多地成為攻擊者的完美目標(biāo)。由此可見，沒有安全的 API，企業(yè)的快速創(chuàng)新也將無從談起。

　　從本質(zhì)上講，API 暴露了應(yīng)用程序的邏輯和敏感數(shù)據(jù)，如個人身份信息，正因如此，API 越來越多地成為攻擊者的完美目標(biāo)。由此可見，沒有安全的 API，企業(yè)的快速創(chuàng)新也將無從談起。

　　API全生命周期安全核心

　　是實現(xiàn) API 資產(chǎn)可視、攻擊可知

　　在談及企業(yè)有效的 API 安全建設(shè)路徑時，邵付東先是闡述了企業(yè)安全建設(shè)的本質(zhì)問題，他指出，企業(yè)遵循業(yè)務(wù)優(yōu)先是企業(yè)生存的前提，“如果業(yè)務(wù)都沒有了，那還談什么安全。”他認為企業(yè)的整體安全建設(shè)應(yīng)遵循：第一、業(yè)務(wù)優(yōu)先，第二、解決可見性，第三、做到整體可控。

　　最終落實到 API 安全建設(shè)路徑方面，邵付東認為首先在業(yè)務(wù)優(yōu)先的基礎(chǔ)上，企業(yè)需要對上線的 API 進行整體地梳理，要務(wù)是實現(xiàn)對所有 API 資產(chǎn)的可視，再進行持續(xù)的 API 漏洞評估和及時感知 API 攻擊風(fēng)險，實現(xiàn) API 風(fēng)險的可控。從業(yè)務(wù)安全角度來講，這也是企業(yè)能夠健康發(fā)展的前提。

　　邵付東解釋稱，做好以上提到的 API 上線后的安全建設(shè)，企業(yè)可以及時了解 API 資產(chǎn)變化情況，解決全量 API 安全可見性問題。之后，再通過安全左移，將視角轉(zhuǎn)到 API 上線前的設(shè)計、開發(fā)、測試等階段，過程中結(jié)合上線后的安全實踐總結(jié)，可更加有的放矢，避免盲目投入。

　　“通過對 API 上線過程問題和隱患的發(fā)現(xiàn)梳理，將其視為企業(yè) API 全生命周期安全建設(shè)的核心和起步點，同時這部分工作還可以作為企業(yè) API 安全左移過程中重要的參考依據(jù)，從目標(biāo)感中獲取解決具體問題的方法來構(gòu)建整體 API 安全，我認為，這將會令 API 全生命周期安全建設(shè)更加有的放矢。”

　　API 全生命周期安全防護

　　對于企業(yè)用戶的意義

　　“全生命周期”最近幾年經(jīng)常出現(xiàn)在網(wǎng)絡(luò)安全領(lǐng)域，比如在數(shù)據(jù)安全領(lǐng)域，其全生命周期泛指數(shù)據(jù)的采集、傳輸、存儲、共享、使用、銷毀等階段，每一個階段均通過一定的安全措施做到安全可控。

　　邵付東稱，永安在線之所以在 API 安全領(lǐng)域提出全生命周期安全防護概念，更多的是想表達對 API 安全管理的一種愿景，即企業(yè)用戶也可以將 API 以資產(chǎn)的視角進行管理，其意義在于更便于企業(yè)用戶通過整體的方法進行思考，從而關(guān)注其整體的生產(chǎn)效率和安全問題。

　　據(jù)邵付東進一步介紹，其提出的 API 全生命周期安全防護模型一方面源于永安在線長期在業(yè)務(wù)安全上的實踐，同時也源于客戶一側(cè)對 API 安全的實際需求總結(jié)，即總體來自用戶側(cè) API 安全真實需求且基于業(yè)務(wù)的方法梳理。

　　正如白皮書指出的那樣，針對 API 存在威脅防護，使用 WAF 類產(chǎn)品只能覆蓋其中的一小部分威脅，對業(yè)務(wù)而言，從單點考慮 API 功能安全設(shè)計到通過對 API 生命周期來考慮 API 的安全，圍繞設(shè)計、開發(fā)、測試、 上線運行、迭代到下線的每一個環(huán)節(jié)加強安全建設(shè)更加必要。

　　在采訪中，邵付東列舉了一些企業(yè)客戶進行 API 安全建設(shè)的具體實踐及過程中所面臨的困境，而白皮書在其第三章節(jié)的“API 全生命周期安全防護”具體內(nèi)容則呼應(yīng)了這部分內(nèi)容，白皮書梳理的 API 全生命周期安全防護不同階段的具體能力建設(shè)，均具體到了方法論和具體的安全實踐工具。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<