【赛迪网讯】智能化的快速到来给我们生活和工作带来了巨大便利，但智能化采用API接口的增多让黑客有机可乘，更容易渗透到系统当中，也为网络安全的防护带来了更多挑战。最近，Akamai发布了API安全趋势的报告，对此Akamai北亚区技术总监刘烨接受了赛迪网的采访。

Akamai北亚区技术总监 刘烨

API攻击占Web攻击的30%

在2024年3月，Akamai发布了一篇名为《潜伏在阴影之中：攻击趋势揭示了 API 威胁》的报告。报告显示了企业使用API的几种主要情形。

第一种是企业内部因通信需要调用API，我们通常称企业内部的通信称为东西向的流量，它主要发生在应用之间，可能是部门之间或不同应用之间的互相调用。虽然这些信息是在内部进行调用，但是它也有可能被放在公网上，进而形成隐患。第二种是To C的客户端，可以发生在移动应用或者电脑和服务器之间的交互，例如：社交媒体的直播或用手机线上支付，每刷一次礼物或支付一次就必然调用API。第三种情况则是第三方调用API。例如一些商业网站会调用它所需要的信息（如天气、股票信息等）显示在其网站上，这也需要调用相应的API。

以上这些情形分布在我们工作、生活的方方面面，是我们须臾不离的现代生活、工作方式的一部分。因此，这也意味着我们生活、工作的各个角落都存在被黑客关注的API突破口。数据显示，在2023年中的Web攻击类型里面，针对API的攻击占了将近30%，API流量的大小所受到的攻击多少基本呈正相关关系。同时，从地区分布的情况来看，欧洲的API攻击占比最高，其次是北美，亚洲、拉丁美洲紧随其后。

欧洲的API最受黑客关注主要因为欧洲推行API标准化，因此API的使用最高，也就因此受到最多的API攻击。不过，值得注意的是并非受到攻击的欧洲地区的API就一定是欧洲的企业，许多被攻击的目标也可能是中国企业。

针对业务逻辑的攻击危害越来越大

从攻击的手段来看，针对HTTP协议漏洞进行攻击的数量最多。其次是Active Session的攻击，这是指针对活动的长链接拿到Token信息进行渗透。总的来说，针对API攻击的类型也更加多元化。

从影响来看，这些API攻击造成的影响一方面是对于应用的影响，造成数据泄漏，甚至可能对企业的信誉造成非常严重的损失。但随着防护系统的升级，黑客想通过注入类型的攻击直接窃取企业的重要数据，其难度也比较大，因为一般看重安全的企业部署的WAF策略正是针对此类攻击。

而值得关注的是，一些通过业务逻辑进行渗透的API攻击却越来越多了。例如一些敏感的数据，对于它的访问没有控制，针对这类数据的攻击反而成为2023年API攻击中排在前十的高危、高风险的攻击类型。这类攻击的特征是很难通过签名可以判断这是一个攻击。例如在金融行业中，它通过用户信用卡支付行为，测试这个卡是不是有效的。这类攻击需要去看业务逻辑，建立自己的基线和模型才能判断出来。

针对这类越来越普遍的以业务逻辑为突破口的API攻击，企业应该从哪些方面提升防护呢？刘烨认为，应该重点关注可视性、漏洞风险和业务逻辑。

可视性是要确保安全人员了解所有的API接口的目的和用途。特别是当一些开发者离开后，企业仍然需要知道他们编写程序中的API的用途。关注漏洞风险，也就是要在开发的过程中遵循最佳实践，减少漏洞，并且在发现漏洞后有行之有效的补救措施。最后是关注业务逻辑的基线，从而可以判断哪些是异常的业务活动。

API Security的防护亮点

“我特别建议我们的客户先要问自己的两个问题：有哪些东西我们要重点考虑？安全产品怎样去构建？”刘烨说道。

在2023年，Akamai收购了Neosec公司，更名产品为API Security的解决方案，可以帮助用户观察以下这几种结果：

1.影子API。可以让用户看到自己的API接口有哪些。

2.易受攻击的API。当企业出现漏洞时可以更好的识别、告警，让企业做出反应。

3.API滥用。通过观测用户的API基线，来判断可能有API滥用行为，给用户通知。这也是针对于应用本身和应用逻辑来查出潜在的攻击漏洞。

同时，在架构上，刘烨建议，靠特征可以防护的；比如：针对注入类型的攻击，合理更新和部署策略的WAF产品可以解决掉大部分问题。但针对API逻辑滥用的攻击，要通过特征和行为分析来防御，比如利用API Security的产品和服务。

作为全球云计算和安全防护的领军企业，Akamai见证了互联网世界从信息化进入数字化，又从数字化迈向智能化的全过程。网络安全与攻击是一对互相都在不断进化升级的过程，在万物互联的新纪元中，API攻击更加呈现多元化的趋势，Akamai不断深入调研分析，为行业提出最符合前沿形势的防护建议，让用户顺势而动，调整防护手段，保护员工、保护应用和API、保护基础架构。