媒体专访 | 邵付东：API安全核心是实现API资产可视、攻击可知

本周，永安在线COO邵付东接受了安全419的独家专访，谈及了此次《API安全建设白皮书》发布初衷，以及企业 API 安全建设难点，正确的 API 建设路径等诸多问题。

邵付东表示，鉴于 API 安全本身的重要性，以及近些年来因 API 保护不当所引起的诸多安全事件，这需要企业能够系统地去解决 API 安全问题。永安在线则通过自身多年对 API 安全的理解和实践经验，梳理了通过 API 全生命周期安全防护的 API 安全建设之路，希望企业能够从中有所借鉴，这也是发布《API安全建设白皮书》的初衷。

该白皮书指出，API 是数据交互最重要的传输方式之一，也因此成为攻击者窃取数据的重点攻击对象。白皮书引用相关数据表示，数据泄露事件中有三分之二是由不安全的 API 造成的。据预测，到 2022 年，API 滥用将成为导致企业 Web 应用程序数据泄露最常见的攻击媒介，甚至在 2024 年 API 安全问题引起的数据泄露风险将翻倍。

所以白皮书在梳理 API 面临的主要安全问题时，也首次提及了来自监管合规方面的挑战。其认为大多数企业在数据的流动访问方面的安全建设意识正逐步萌芽和发展，而 API 作为连接数据与应用的主要通道，正成为数据传输中最薄弱的环节之一。

邵付东告诉安全419，金融行业有明确的 API 安全建设标准（金融行业标准 JR/T 0185-2020《商业银行应用程序接口安全管理规范》），但整体来看，各行业在 API 的安全防护上还是比较薄弱的。随着数字化发展，API 数量剧增，现阶段 API 架构的安全建设相对滞后，API 的增速与其安全发展的不平衡，使其成为企业数据安全最大的风险敞口。

在谈及企业在进行 API 安全建设时存在的难点时，邵付东从多方面的经验梳理总结了以下两点见解：

第一，大部分企业客户优先考虑的是业务快速迭代发展，安全随着业务的发展才会慢慢被重视；第二，企业对 API 安全建设的重要性认识仍显不足，这也直接造成了企业普遍存在诸多的 API 安全隐患。

白皮书曾对 API 的重要性做出如下总结：在当今应⽤程序驱动的世界中，创新的⼀个基本元素就是 API。从银⾏、零售、运输到物联网、自动驾驶汽车和智慧城市，API 是现代移动端、SaaS 和 Web 应用程序的关键部分，企业在面向客户、面向合作伙伴和机构内部的应用程序中随处可见 API 的使用。从本质上讲，API 暴露了应用程序的逻辑和敏感数据，如个人身份信息，正因如此，API 越来越多地成为攻击者的完美目标。由此可见，没有安全的 API，企业的快速创新也将无从谈起。

从本质上讲，API 暴露了应用程序的逻辑和敏感数据，如个人身份信息，正因如此，API 越来越多地成为攻击者的完美目标。由此可见，没有安全的 API，企业的快速创新也将无从谈起。

在谈及企业有效的 API 安全建设路径时，邵付东先是阐述了企业安全建设的本质问题，他指出，企业遵循业务优先是企业生存的前提，“如果业务都没有了，那还谈什么安全。”他认为企业的整体安全建设应遵循：第一、业务优先，第二、解决可见性，第三、做到整体可控。

最终落实到 API 安全建设路径方面，邵付东认为首先在业务优先的基础上，企业需要对上线的 API 进行整体地梳理，要务是实现对所有 API 资产的可视，再进行持续的 API 漏洞评估和及时感知 API 攻击风险，实现 API 风险的可控。从业务安全角度来讲，这也是企业能够健康发展的前提。

邵付东解释称，做好以上提到的 API 上线后的安全建设，企业可以及时了解 API 资产变化情况，解决全量 API 安全可见性问题。之后，再通过安全左移，将视角转到 API 上线前的设计、开发、测试等阶段，过程中结合上线后的安全实践总结，可更加有的放矢，避免盲目投入。

“全生命周期”最近几年经常出现在网络安全领域，比如在数据安全领域，其全生命周期泛指数据的采集、传输、存储、共享、使用、销毁等阶段，每一个阶段均通过一定的安全措施做到安全可控。

邵付东称，永安在线之所以在 API 安全领域提出全生命周期安全防护概念，更多的是想表达对 API 安全管理的一种愿景，即企业用户也可以将 API 以资产的视角进行管理，其意义在于更便于企业用户通过整体的方法进行思考，从而关注其整体的生产效率和安全问题。

据邵付东进一步介绍，其提出的 API 全生命周期安全防护模型一方面源于永安在线长期在业务安全上的实践，同时也源于客户一侧对 API 安全的实际需求总结，即总体来自用户侧 API 安全真实需求且基于业务的方法梳理。

正如白皮书指出的那样，针对 API 存在威胁防护，使用 WAF 类产品只能覆盖其中的一小部分威胁，对业务而言，从单点考虑 API 功能安全设计到通过对 API 生命周期来考虑 API 的安全，围绕设计、开发、测试、 上线运行、迭代到下线的每一个环节加强安全建设更加必要。

在采访中，邵付东列举了一些企业客户进行 API 安全建设的具体实践及过程中所面临的困境，而白皮书在其第三章节的“API 全生命周期安全防护”具体内容则呼应了这部分内容，白皮书梳理的 API 全生命周期安全防护不同阶段的具体能力建设，均具体到了方法论和具体的安全实践工具。

比如在 API 的开发阶段，借此白皮书的发布，永安在线也首次公开了他们的 API 安全开发规范，感兴趣的企业用户可以点击文章底部【阅读原文】下载《API安全建设白皮书》PDF完整版，进一步获取相关信息及工具。

为帮助企业单位及时识别API攻击风险，永安在线推出业内首个超轻量级的API风险预警工具——API风险雷达平台，面向所有客户免费开放，复制下方链接到浏览器即可注册，实时监测和预警API风险，及时掌握业务风险攻击路径。

注册链接：

‍https://apis.yazx.com

备注：请通过PC端注册和登录

点击【阅读原文】

下载白皮书完整版