API安全风险频发 影子API成为主要来源

安全419关注到，Cequence威胁研究团队发布了《2022年上半年API安全报告》（以下简称“《报告》”），《报告》显示三分之一的恶意请求针对未知、未管理和未受保护的API（影子API）。

《报告》发现影子API滥用在2022年激增，在167亿恶意交易中，约有31%（即50亿）针对影子API，其为2022年上半年的最大威胁。

《报告》显示，该威胁排名第二，有36亿个恶意请求，包括针对运动鞋或奢侈品的恶意购物 API 请求（30 亿）；恶意礼品卡检查（2.9亿）；创建虚假帐户（2.37亿）；键业务客户交互平台上的垃圾评论请求（3700 万）。

《报告》表示，这种API安全风险（1亿）也构成了重大威胁，其利用了多个 API 安全漏洞，例如用户身份验证中断（API2）、数据过度泄露（API3） 和资产管理不当（API9）。研究人员表示，这种组合证明攻击者正在对每个API的工作原理等进行详细分析。

《报告》指出，API已成为业务的基石，企业应使API保护成为优先事项，并建议进行持续API风险评估以防止数据泄露、中断身份验证和编码错误。

安全419建议，对于开发人员，应对API的安全性进行良好的构建和设计，遵守API安全开发规范进行实施。对于管理人员，应使用API管理平台对API服务所面临的风险进行检测和防护。

永安在线长期致力于API安全的研究，其在《2022年Q2 API安全研究报告》给出了相关建议，企业除了已有的防御体系外，也需要针对性地构建API安全防护体系，其中风险情报是重要的组成部分，基于情报及早感知及时防御，从而保障企业及其用户的数据安全。

针对API面临的安全威胁，瑞数信息打造了API安全管控平台，其包括API资产管理、攻击防护、敏感数据管控和访问行为管控四大模块，为API接口提供完整的安全管控方案。

如今API安全已成为提供API服务的企业之间以及企业内部都需要关注的一个安全问题，一旦没有很好的保护好提供服务的API，不仅会对用户的使用体验以及个人隐私带来威胁和风险，而且可能会使企业面临安全威胁和风险，API安全已成为重中之重。