API作为应用与数据服务的通信接口，应用场景广泛。有人说，未来的社会是API的社会。现代API往往隐藏在网络应用之中，在日常生活中接触最为广泛和熟知的身份认证、电子支付、定位、语音转换等等基础数字服务，都是以API的形式来显现的。API不仅服务于个人，也为许多企业的数字化转型提供了强大动力。

根据postman监测的数据显示，API已经在全球范围内被充分接受，并且呈现出持续增长的趋势。2021年，通过postman平台的API通信遍布全球234个不同国家，较同期增长56%，API已经几乎在全世界被开发和调用。

根据GoogleCloud调查的结果显示，其API平台Apigee的用户API流量在2019年至2020年期间同比增长46%，已经达到2.21万亿次调用。这一增长反映了各行业数字化转型接受度的增长，越来越多的行业开展了数字化优先的业务战略。

随着API的广泛应用及爆炸式增长，API已然成为攻击者窃取数据的重点攻击对象。研究部门Salt Labs发布的《2022年第一季度API安全状况报告》显示，过去12个月，恶意API流量增加了681%，95%的组织都经历了API安全事件。

2021年12月

国内某证券公司的客户信息数据，包括用户姓名、手机号、开户时间、交易情况等敏感数据，以每日1万多条的量级在数据交易平台被售卖。经验证分析，证实为内部系统数据API管控疏忽导致。

2021年6月

黑客通过领英的API漏洞，获取到领英7亿多用户的个人数据，并在暗网销售。

2021年4月

脸书的某在线业务API遭误用，导致5亿用户数据被泄露，并在暗网公开售卖。

API安全问题分析

• API资产不清，不易管理

API资产增长迅速，API接口无法扫描和探测、资产识别有难度、权限不清晰，大量API接口没有梳理，安全责任无法划分落实。

• 敏感数据资产不清，疏于防护

不了解API接口传输数据哪些是敏感数据，对敏感数据没有有效防护。

• API安全检测能力缺失

不能及时检测对API发生的恶意攻击、高位风险操作、安全漏洞等，比如异常访问风险无法识别、API接口未做鉴权、API传输内容无法检测。

• API安全防护无有效方案

对API异常访问行为无法监控，API传输的敏感数据访问行为无法管控，对越权访问、权限滥用等问题也无有效防护方案。

以上API安全问题，怎样解决？

昂楷API安全审计系统，可旁路部署在企业业务系统之中，对企业业务系统API进行梳理、风险识别、安全防护、形成接口画像等核心功能，实现对API资产的掌握，敏感数据的防泄漏，保护API安全运行。

昂楷API审计核心功能

• API资产梳理

自定义添加或自动发现API资产，建立API清单，与已知API清单进行比对，及时发现未知API和僵尸API，对API进行分类，设置责任人。

• 敏感数据管控

自定义敏感数据或自动发现API传输的敏感数据，对敏感数据访问权限进行管控，对访问的敏感数据进行脱敏。

• API安全检测

及时识别API风险，如对API的异常访问、API接口未鉴权、API接口漏洞、API接口高危操作、OWASP TOP10风险检测等。

• API安全管控

对API安全检测的风险及时预警，并阻断风险操作，对敏感数据的访问可进行敏感数据脱敏。

• API安全审计

对API所有访问操作都做全面审计，并存储审计记录，可事后追溯追责。

• API接口画像

统计访问的API接口所属业务系统、访问源、日活跃数、风险数、请求返回数等，形成API接口画像。

昂楷API审计应用价值

摸清API家底，掌握API资产现状

昂楷API安全审计系统，可为企业系统梳理API资产，摸清API家底，掌握API资产现状。

识别API传输敏感数据，防止敏感数据泄露

可识别API传输敏感数据，对访问敏感数据的操作进行灵活处理，合法访问者只做审计，无权访问者进行脱敏处理，非法访问者进行阻断，防止敏感数据泄漏。

事前-事中-事后实现API持续的安全防护

• 事前对API接口访问操作形成接口画像，便于掌握企业系统API资产运行状态；

• 事中可识别API风险并及时预警，对风险操作进行阻断，保护API资产安全；

• 事后对API访问操作进行审计，发生安全事件可事后追溯追责；最终实现API持续的安全防护状态，为数字化转型保驾护航。