发布于 2023-02-02 10:38

【API安全】客户对API关注度暴涨！从这3点告诉你为什么客户迫切需要开展API安全建设

API安全是近两年安全圈的热词之一，可以看到无论大厂亦或小厂在这领域或多或少都做了些探索。Gartner预测：到2022年，API滥用将从不常见的攻击向量转变为最频繁的攻击向量，从而导致企业 Web 应用程序的数据泄露。抛开市场热度、政策驱动不谈，回归本质：为什么我们的客户需要API安全产品？总结有以下3点原因：

1、可见是安全的前提，尚无一款安全产品可以帮助客户自动梳理API资产

API用于共享客户最有价值的数据和服务，不了解其暴露面和运行状态，其后果是显而易见且可怕的——Avatar

资产可见性是安全的基础，API由于数量大、更新快、且关联有敏感数据和用户账号，导致很难通过堆人的方法对API进行持续维护。API安全产品通过对流量进行分析，自动发现API清单、API请求/响应参数，识别API业务类型并实时监控API中敏感数据传输情况，为客户提供强大的API资产可见性。

2、攻击发生了变化，已有安全产品均无法有效应对API安全攻击

每个API漏洞都是0day漏洞，因为每个客户的API都是独一无二的，它们的安全漏洞亦是如此——Avatar

API网关本身不是为安全而构建的，更多是促进API复用和保持API模式一致性，没有能力监控API流量。
WAF只能对单次访问进行特征判断，无法将一段时间内的事务进行综合分析，阻挡不了今天的API攻击。
扫描器产品只能对业务系统的通用漏洞进行发现，缺乏对API的细粒度理解，发现不了API的逻辑漏洞。
DLP产品更多针对内部人员，粗放的关注请求者是否有相关数据操作权限，欠缺对数据权限来源的判定和对API本身安全性的评估。
...

传统安全产品这种“静态”防护API手段，将客户陷入到不对称对抗之中，因为恶意人员可以通过前期不断地嗅探找到企业API薄弱点。API安全产品可以将企业所有API的所有用户的所有活动汇集在一起，统一分析，这种“动态”防护模式，可在恶意人员行动之初，发现恶意人员的蛛丝马迹，提前预警，帮助客户彻底摆脱被动式防御。