業(yè)務(wù)情報(bào)和 API 數(shù)據(jù)安全方案廠商永安在線于近日發(fā)布《API安全建設(shè)白皮書》（以下簡(jiǎn)稱：白皮書），對(duì) API 在現(xiàn)代 IT 業(yè)務(wù)系統(tǒng)中所起到的關(guān)鍵作用，以及普遍應(yīng)用下的安全挑戰(zhàn)作出了詳細(xì)介紹，為應(yīng)對(duì) API 安全挑戰(zhàn)，白皮書提出了“API 全生命周期安全防護(hù)模型”，以供企業(yè)建設(shè)安全的 API 提供參考。

　　該白皮書指出，API 全生命周期安全防護(hù)包含 API 從設(shè)計(jì)到開發(fā)，再到測(cè)試、上線運(yùn)行、迭代及下線共計(jì)六個(gè)階段，利用全生命周期理念來(lái)考慮 API 的安全性，通過(guò)安全左移方法和工具，綜合性的融合管理手段和技術(shù)手段進(jìn)行 API 安全治理，可提高業(yè)務(wù) API 的整體安全性。

　　永安在線COO邵付東談及了此次《API安全建設(shè)白皮書》發(fā)布初衷，以及企業(yè) API 安全建設(shè)難點(diǎn)，正確的 API 建設(shè)路徑等諸多問(wèn)題。

　　企業(yè)普遍缺乏API安全實(shí)踐

　　已成數(shù)據(jù)安全最大風(fēng)險(xiǎn)敞口

　　邵付東表示，鑒于 API 安全本身的重要性，以及近些年來(lái)因 API 保護(hù)不當(dāng)所引起的諸多安全事件，這需要企業(yè)能夠系統(tǒng)地去解決 API 安全問(wèn)題。永安在線則通過(guò)自身多年對(duì) API 安全的理解和實(shí)踐經(jīng)驗(yàn)，梳理了通過(guò) API 全生命周期安全防護(hù)的 API 安全建設(shè)之路，希望企業(yè)能夠從中有所借鑒，這也是發(fā)布《API安全建設(shè)白皮書》的初衷。

　　該白皮書指出，API 是數(shù)據(jù)交互最重要的傳輸方式之一，也因此成為攻擊者竊取數(shù)據(jù)的重點(diǎn)攻擊對(duì)象。白皮書引用相關(guān)數(shù)據(jù)表示，數(shù)據(jù)泄露事件中有三分之二是由不安全的 API 造成的。據(jù)預(yù)測(cè)，到 2022 年，API 濫用將成為導(dǎo)致企業(yè) Web 應(yīng)用程序數(shù)據(jù)泄露最常見的攻擊媒介，甚至在 2024 年 API 安全問(wèn)題引起的數(shù)據(jù)泄露風(fēng)險(xiǎn)將翻倍。

　　所以白皮書在梳理 API 面臨的主要安全問(wèn)題時(shí)，也首次提及了來(lái)自監(jiān)管合規(guī)方面的挑戰(zhàn)。其認(rèn)為大多數(shù)企業(yè)在數(shù)據(jù)的流動(dòng)訪問(wèn)方面的安全建設(shè)意識(shí)正逐步萌芽和發(fā)展，而 API 作為連接數(shù)據(jù)與應(yīng)用的主要通道，正成為數(shù)據(jù)傳輸中最薄弱的環(huán)節(jié)之一。

　　邵付東告訴安全419，金融行業(yè)有明確的 API 安全建設(shè)標(biāo)準(zhǔn)（金融行業(yè)標(biāo)準(zhǔn) JR/T 0185-2020《商業(yè)銀行應(yīng)用程序接口安全管理規(guī)范》），但整體來(lái)看，各行業(yè)在 API 的安全防護(hù)上還是比較薄弱的。隨著數(shù)字化發(fā)展，API 數(shù)量劇增，現(xiàn)階段 API 架構(gòu)的安全建設(shè)相對(duì)滯后，API 的增速與其安全發(fā)展的不平衡，使其成為企業(yè)數(shù)據(jù)安全最大的風(fēng)險(xiǎn)敞口。

　　業(yè)務(wù)優(yōu)先和API安全意識(shí)薄弱

　　是API安全建設(shè)核心難點(diǎn)

　　在談及企業(yè)在進(jìn)行 API 安全建設(shè)時(shí)存在的難點(diǎn)時(shí)，邵付東從多方面的經(jīng)驗(yàn)梳理總結(jié)了以下兩點(diǎn)見解：

　　第一，大部分企業(yè)客戶優(yōu)先考慮的是業(yè)務(wù)快速迭代發(fā)展，安全隨著業(yè)務(wù)的發(fā)展才會(huì)慢慢被重視；第二，企業(yè)對(duì) API 安全建設(shè)的重要性認(rèn)識(shí)仍顯不足，這也直接造成了企業(yè)普遍存在諸多的 API 安全隱患。

　　白皮書曾對(duì) API 的重要性做出如下總結(jié)：在當(dāng)今應(yīng)？程序驅(qū)動(dòng)的世界中，創(chuàng)新的？個(gè)基本元素就是 API。從銀？、零售、運(yùn)輸?shù)轿锫?lián)網(wǎng)、自動(dòng)駕駛汽車和智慧城市，API 是現(xiàn)代移動(dòng)端、SaaS 和 Web 應(yīng)用程序的關(guān)鍵部分，企業(yè)在面向客戶、面向合作伙伴和機(jī)構(gòu)內(nèi)部的應(yīng)用程序中隨處可見 API 的使用。從本質(zhì)上講，API 暴露了應(yīng)用程序的邏輯和敏感數(shù)據(jù)，如個(gè)人身份信息，正因如此，API 越來(lái)越多地成為攻擊者的完美目標(biāo)。由此可見，沒(méi)有安全的 API，企業(yè)的快速創(chuàng)新也將無(wú)從談起。

　　從本質(zhì)上講，API 暴露了應(yīng)用程序的邏輯和敏感數(shù)據(jù)，如個(gè)人身份信息，正因如此，API 越來(lái)越多地成為攻擊者的完美目標(biāo)。由此可見，沒(méi)有安全的 API，企業(yè)的快速創(chuàng)新也將無(wú)從談起。

　　API全生命周期安全核心

　　是實(shí)現(xiàn) API 資產(chǎn)可視、攻擊可知

　　在談及企業(yè)有效的 API 安全建設(shè)路徑時(shí)，邵付東先是闡述了企業(yè)安全建設(shè)的本質(zhì)問(wèn)題，他指出，企業(yè)遵循業(yè)務(wù)優(yōu)先是企業(yè)生存的前提，“如果業(yè)務(wù)都沒(méi)有了，那還談什么安全。”他認(rèn)為企業(yè)的整體安全建設(shè)應(yīng)遵循：第一、業(yè)務(wù)優(yōu)先，第二、解決可見性，第三、做到整體可控。

　　最終落實(shí)到 API 安全建設(shè)路徑方面，邵付東認(rèn)為首先在業(yè)務(wù)優(yōu)先的基礎(chǔ)上，企業(yè)需要對(duì)上線的 API 進(jìn)行整體地梳理，要?jiǎng)?wù)是實(shí)現(xiàn)對(duì)所有 API 資產(chǎn)的可視，再進(jìn)行持續(xù)的 API 漏洞評(píng)估和及時(shí)感知 API 攻擊風(fēng)險(xiǎn)，實(shí)現(xiàn) API 風(fēng)險(xiǎn)的可控。從業(yè)務(wù)安全角度來(lái)講，這也是企業(yè)能夠健康發(fā)展的前提。

　　邵付東解釋稱，做好以上提到的 API 上線后的安全建設(shè)，企業(yè)可以及時(shí)了解 API 資產(chǎn)變化情況，解決全量 API 安全可見性問(wèn)題。之后，再通過(guò)安全左移，將視角轉(zhuǎn)到 API 上線前的設(shè)計(jì)、開發(fā)、測(cè)試等階段，過(guò)程中結(jié)合上線后的安全實(shí)踐總結(jié)，可更加有的放矢，避免盲目投入。

　　“通過(guò)對(duì) API 上線過(guò)程問(wèn)題和隱患的發(fā)現(xiàn)梳理，將其視為企業(yè) API 全生命周期安全建設(shè)的核心和起步點(diǎn)，同時(shí)這部分工作還可以作為企業(yè) API 安全左移過(guò)程中重要的參考依據(jù)，從目標(biāo)感中獲取解決具體問(wèn)題的方法來(lái)構(gòu)建整體 API 安全，我認(rèn)為，這將會(huì)令 API 全生命周期安全建設(shè)更加有的放矢。”

　　API 全生命周期安全防護(hù)

　　對(duì)于企業(yè)用戶的意義

　　“全生命周期”最近幾年經(jīng)常出現(xiàn)在網(wǎng)絡(luò)安全領(lǐng)域，比如在數(shù)據(jù)安全領(lǐng)域，其全生命周期泛指數(shù)據(jù)的采集、傳輸、存儲(chǔ)、共享、使用、銷毀等階段，每一個(gè)階段均通過(guò)一定的安全措施做到安全可控。

　　邵付東稱，永安在線之所以在 API 安全領(lǐng)域提出全生命周期安全防護(hù)概念，更多的是想表達(dá)對(duì) API 安全管理的一種愿景，即企業(yè)用戶也可以將 API 以資產(chǎn)的視角進(jìn)行管理，其意義在于更便于企業(yè)用戶通過(guò)整體的方法進(jìn)行思考，從而關(guān)注其整體的生產(chǎn)效率和安全問(wèn)題。

　　據(jù)邵付東進(jìn)一步介紹，其提出的 API 全生命周期安全防護(hù)模型一方面源于永安在線長(zhǎng)期在業(yè)務(wù)安全上的實(shí)踐，同時(shí)也源于客戶一側(cè)對(duì) API 安全的實(shí)際需求總結(jié)，即總體來(lái)自用戶側(cè) API 安全真實(shí)需求且基于業(yè)務(wù)的方法梳理。

　　正如白皮書指出的那樣，針對(duì) API 存在威脅防護(hù)，使用 WAF 類產(chǎn)品只能覆蓋其中的一小部分威脅，對(duì)業(yè)務(wù)而言，從單點(diǎn)考慮 API 功能安全設(shè)計(jì)到通過(guò)對(duì) API 生命周期來(lái)考慮 API 的安全，圍繞設(shè)計(jì)、開發(fā)、測(cè)試、 上線運(yùn)行、迭代到下線的每一個(gè)環(huán)節(jié)加強(qiáng)安全建設(shè)更加必要。

　　在采訪中，邵付東列舉了一些企業(yè)客戶進(jìn)行 API 安全建設(shè)的具體實(shí)踐及過(guò)程中所面臨的困境，而白皮書在其第三章節(jié)的“API 全生命周期安全防護(hù)”具體內(nèi)容則呼應(yīng)了這部分內(nèi)容，白皮書梳理的 API 全生命周期安全防護(hù)不同階段的具體能力建設(shè)，均具體到了方法論和具體的安全實(shí)踐工具。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<