聚焦影子API 提高网络安全性

API加速了企业的数字化转型，其控制软件的交互方式，并在 Web、物联网（IoT）、移动和 SaaS 应用程序中联通软件，另外，API链接内部系统，与其他业务联系密切，并能够促进与合作厂商的共同创新。API作为连接数据与应用的重要通道，成为了数据安全建设中不容忽视的环节。

企业会使用数百甚至数千个API，但其中许多API是IT团队所不知道也不了解的。此外，开发人员也可能忘记停用旧版或撤下已被替换的“僵尸”接口。这些影子API 会显著增加企业的风险，2019年，OWASP发布了API 安全中前十名的漏洞，包括对象级授权中断、用户身份验证中断和数据暴露过多等，随着影子 API的扩展，这些威胁向量将呈指数级增长。

Gartner预测到2022年， API攻击将成为最常见的攻击媒介，这会导致企业Web应用程序的数据泄露。

企业通过使用软件即服务（SaaS）平台创建在线目录以高效地发现和管理 API。在线工具支持实时发现并提供元数据，并显示API 在上下文中的工作方式。具有联机目录的团队可以看到所有 API 的业务逻辑，以及流入流出API 的敏感数据。这些重要信息使 IT 和安全团队能够实施有效的安全控制和检测签名。如果他们检测到 API 行为发生变化，这表明存在误用或攻击，IT 和安全专家可以迅速采取行动进行补救或停用。

由于企业的数字化业务在不停增长，开发人员不断创建和应用新的代码。相关报告显示，尽管大多数开发人员认为他们的应用程序是安全可靠的，但仍然存在许多易受攻击的代码.，其主要原因包括：

专家表示，使用在线目录有助于创建DevSecOps文化。在该文化中，安全性是预先考虑的，开发人员可以使用联机目录跨外部 API、内部 API 和微服务自动对单个应用程序的请求进行分布式跟踪。

IT 和安全团队可以通过协作来加强应用程序和 API 的安全性，并借助自动化流程以及整体和细粒度视图，可以进行更深入的分析、做出合理的安全决策以及主动修复漏洞。

数字化的快速发展意味着随着时间的推移，企业将使用更多的API。应用程序和服务将变得更加互联。专家表示采用零信任安全模型和发展DevSecOps是理想的选择。

另外，使用在线目录公开 API 生态系统可提供有价值的信息，相关团队能够发现和管理所有 API，从而控制影子API，团队也可以分析每个 API 的业务风险和潜在数据泄露，并确定修正工作的优先级。这样，IT和安全团队就可以追溯最终用户的使用情况，确定API是否受到对手的攻击以及其所在的位置。