近期,一場由第三方集成漏洞引發(fā)的供應(yīng)鏈攻擊引發(fā)行業(yè)熱議:多家科技與網(wǎng)絡(luò)安全企業(yè)相繼證實,因 Salesforce 第三方應(yīng)用 Drift 的 OAuth 令牌被盜,導(dǎo)致其 Salesforce 環(huán)境遭遇數(shù)據(jù)泄露。攻擊者并未直接入侵 Salesforce 平臺,而是利用被盜的 OAuth 令牌 —— 這一 API 授權(quán)的核心憑證,通過合法 API 接口訪問客戶數(shù)據(jù),包括業(yè)務(wù)聯(lián)系信息、內(nèi)部文檔等關(guān)鍵內(nèi)容。此類攻擊暴露出 API 安全的致命盲區(qū):當(dāng)?shù)谌郊傻牧钆乒芾硎Э兀珹PI 將從連接工具淪為數(shù)據(jù)泄露的 "隱形通道"。
劉炅 Akamai大中華區(qū)產(chǎn)品市場經(jīng)理
在當(dāng)今數(shù)字化時代,API已然成為推動企業(yè)數(shù)字化轉(zhuǎn)型與創(chuàng)新的關(guān)鍵力量。從移動端應(yīng)用到邊緣計算場景,API 廣泛地支撐著各類服務(wù)的運行,促進(jìn)了不同系統(tǒng)間的無縫協(xié)作。而在 AI 技術(shù)蓬勃發(fā)展的當(dāng)下,API 的重要性更是與日俱增。Gartner 預(yù)測,到 2026 年,全球API 需求增長的 30% 以上將來自人工智能和使用大型語言模型的工具。API面臨的安全風(fēng)險也在不斷攀升。根據(jù)調(diào)查,亞太地區(qū)85%的企業(yè)表示在過去12個月內(nèi)至少經(jīng)歷過一起與API相關(guān)的安全事件。財務(wù)影響也同樣令人擔(dān)憂,在接受調(diào)查的市場中,解決API安全事件的平均估計成本超過58萬美元。而在調(diào)查中,中國是唯一將“保護(hù)API免受攻擊”列為網(wǎng)絡(luò)安全第一要務(wù)的群體。
AI 驅(qū)動攻擊激增,API 安全保護(hù)勢在必行
根據(jù)Akamai的SOTI報告《2025年應(yīng)用程序與 API 安全現(xiàn)狀:AI如何改變數(shù)字格局》,亞太地區(qū)及日本遭受的 Web 應(yīng)用程序攻擊數(shù)量年同比增長了73%,使得該地區(qū)成為全球增幅最高的區(qū)域。這凸顯了在人工智能快速發(fā)展和應(yīng)用的大環(huán)境下,保護(hù) Web 應(yīng)用程序和 API 安全勢在必行。
AI 技術(shù)增強(qiáng)了威脅檢測和響應(yīng)能力,正在改變 Web 應(yīng)用程序和 API 的安全格局,同時也帶來了新的安全挑戰(zhàn)。據(jù)記錄,2024 年,亞太地區(qū)及日本共遭受了 510 億次 Web 應(yīng)用程序攻擊,相比 2023 年的 290 億次,數(shù)量明顯增加。攻擊激增與 AI 應(yīng)用程序的快速普及密切相關(guān),它擴(kuò)大了攻擊面,增加了網(wǎng)絡(luò)攻擊的復(fù)雜性。
移動 + 邊緣場景擴(kuò)容 API 攻擊面,“不可見性” 成核心安全盲區(qū)
隨著移動應(yīng)用、第三方集成和邊緣端應(yīng)用的興起,API攻擊面急劇擴(kuò)大。移動端多樣化的設(shè)備環(huán)境、復(fù)雜的第三方集成,以及邊緣側(cè)高度分布式的部署模式,使得 API 的運行和管理面臨更強(qiáng)烈的實時性、動態(tài)性與異構(gòu)性挑戰(zhàn)。尤其在智能業(yè)務(wù)場景中,API 頻繁交互用戶敏感數(shù)據(jù)(如身份信息、位置、行為偏好等),一旦缺乏有效管控,極易形成安全盲區(qū)。
由于移動與邊緣架構(gòu)天然具有的分布式特性,API往往運行在傳統(tǒng)安全邊界之外,很多接口對安全團(tuán)隊來說是幾乎不可見的,從而形成了被攻擊者利用的盲點。缺乏可見性以及影子API和僵尸API的迅速擴(kuò)散大大增加了風(fēng)險。Akamai 的調(diào)查顯示,擁有完整 API 清單并了解哪些 API 會交換敏感數(shù)據(jù)的參與者比例從 2023 年較低的 40% 進(jìn)一步降至 2024 年的 27%。這意味著企業(yè)對自身 API 風(fēng)險的可見性愈發(fā)不足,眾多潛在的安全隱患難以被及時發(fā)現(xiàn)與應(yīng)對。
三維應(yīng)對策略筑牢 API 安全防線
面對如此嚴(yán)峻的 API 安全挑戰(zhàn),Akamai 建議企業(yè)采取以下策略來構(gòu)建全面且有效的解決方案:
· 提升可視性:企業(yè)應(yīng)首先確保對API的全面掌控和清晰認(rèn)知。這包括對所有API的存在、端點及功能進(jìn)行詳盡梳理和記錄。通過增強(qiáng)API的透明度,企業(yè)能夠及時發(fā)現(xiàn)并處理潛在的安全隱患。
· 強(qiáng)化漏洞管理:從設(shè)計和構(gòu)建階段開始,企業(yè)應(yīng)建立一套完整的漏洞管理體系。利用OWASP安全風(fēng)險清單等工具為開發(fā)人員提供良好編碼實踐的指導(dǎo);同時,與專業(yè)的安全廠商合作,共同推進(jìn)跨部門、跨團(tuán)隊的協(xié)作機(jī)制,以實現(xiàn)對潛在風(fēng)險的及時識別和有效防御。
· 加強(qiáng)業(yè)務(wù)邏輯保護(hù):鑒于攻擊手段的多樣化,企業(yè)需高度重視業(yè)務(wù)邏輯的安全性。通過建立業(yè)務(wù)邏輯基線、實施嚴(yán)格的訪問控制和審計機(jī)制等措施,企業(yè)能夠有效抵御針對業(yè)務(wù)邏輯的攻擊行為,確保關(guān)鍵業(yè)務(wù)數(shù)據(jù)的安全與完整。
在 AI 時代,移動應(yīng)用和邊緣應(yīng)用的 API 安全至關(guān)重要。企業(yè)只有充分認(rèn)識到當(dāng)前 API 安全面臨的挑戰(zhàn),并借助專業(yè)合作伙伴的解決方案,從提升可見性、全生命周期防護(hù)以及靈活部署等多方面入手,才能有效地保護(hù) API 安全,為企業(yè)的數(shù)字化轉(zhuǎn)型與創(chuàng)新發(fā)展保駕護(hù)航。