Cequence威脅研究團(tuán)隊(duì)發(fā)布了《2022年上半年API安全報(bào)告》（以下簡(jiǎn)稱(chēng)“《報(bào)告》”），《報(bào)告》顯示三分之一的惡意請(qǐng)求針對(duì)未知、未管理和未受保護(hù)的API（影子API）。

　　API 安全風(fēng)險(xiǎn)1：

　　影子 API 濫用 （OWASP API9）

　　《報(bào)告》發(fā)現(xiàn)影子API濫用在2022年激增，在167億惡意交易中，約有31%（即50億）針對(duì)影子API，其為2022年上半年的最大威脅。

　　API 安全風(fēng)險(xiǎn)2：

　　API 濫用正確編碼端點(diǎn) （OWASP API10+）

　　《報(bào)告》顯示，該威脅排名第二，有36億個(gè)惡意請(qǐng)求，包括針對(duì)運(yùn)動(dòng)鞋或奢侈品的惡意購(gòu)物 API 請(qǐng)求（30 億）；惡意禮品卡檢查（2.9億）；創(chuàng)建虛假帳戶(hù)（2.37億）；鍵業(yè)務(wù)客戶(hù)交互平臺(tái)上的垃圾評(píng)論請(qǐng)求（3700 萬(wàn)）。

　　API 安全風(fēng)險(xiǎn)3：

　　憑證填充、影子API 和敏感數(shù)據(jù)泄露的“三位一體”

　　《報(bào)告》表示，這種API安全風(fēng)險(xiǎn)（1億）也構(gòu)成了重大威脅，其利用了多個(gè) API 安全漏洞，例如用戶(hù)身份驗(yàn)證中斷（API2）、數(shù)據(jù)過(guò)度泄露（API3） 和資產(chǎn)管理不當(dāng)（API9）。研究人員表示，這種組合證明攻擊者正在對(duì)每個(gè)API的工作原理等進(jìn)行詳細(xì)分析。

　　API安全是重中之重

　　《報(bào)告》指出，API已成為業(yè)務(wù)的基石，企業(yè)應(yīng)使API保護(hù)成為優(yōu)先事項(xiàng)，并建議進(jìn)行持續(xù)API風(fēng)險(xiǎn)評(píng)估以防止數(shù)據(jù)泄露、中斷身份驗(yàn)證和編碼錯(cuò)誤。

　　對(duì)于開(kāi)發(fā)人員，應(yīng)對(duì)API的安全性進(jìn)行良好的構(gòu)建和設(shè)計(jì)，遵守API安全開(kāi)發(fā)規(guī)范進(jìn)行實(shí)施。對(duì)于管理人員，應(yīng)使用API管理平臺(tái)對(duì)API服務(wù)所面臨的風(fēng)險(xiǎn)進(jìn)行檢測(cè)和防護(hù)。

　　永安在線長(zhǎng)期致力于API安全的研究，其在《2022年Q2 API安全研究報(bào)告》給出了相關(guān)建議，企業(yè)除了已有的防御體系外，也需要針對(duì)性地構(gòu)建API安全防護(hù)體系，其中風(fēng)險(xiǎn)情報(bào)是重要的組成部分，基于情報(bào)及早感知及時(shí)防御，從而保障企業(yè)及其用戶(hù)的數(shù)據(jù)安全。

　　針對(duì)API面臨的安全威脅，瑞數(shù)信息打造了API安全管控平臺(tái)，其包括API資產(chǎn)管理、攻擊防護(hù)、敏感數(shù)據(jù)管控和訪問(wèn)行為管控四大模塊，為API接口提供完整的安全管控方案。

　　如今API安全已成為提供API服務(wù)的企業(yè)之間以及企業(yè)內(nèi)部都需要關(guān)注的一個(gè)安全問(wèn)題，一旦沒(méi)有很好的保護(hù)好提供服務(wù)的API，不僅會(huì)對(duì)用戶(hù)的使用體驗(yàn)以及個(gè)人隱私帶來(lái)威脅和風(fēng)險(xiǎn)，而且可能會(huì)使企業(yè)面臨安全威脅和風(fēng)險(xiǎn)，API安全已成為重中之重。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<