2023 年趋势预测：API 安全将成为网络安全的新战场

近年来，越来越多的企业采用应用程序编程接口(也即 API)来发布服务和应用。无论从哪个角度考量，API 事实上已经成为现今Internet 的重要支柱。个中原因显而易见：API 是数字化转型的重要组成部分，它能使应用程序、容器和微服务能够更快速交换数据和信息，使消费者在其数字设备上体验到更多便利。

Imperva 委托 Forrester Research 发布的一份报告指出，78% 的决策者认为采用 API 对于企业保持竞争力至关重要，特别是在用于客户联系领域(88%) ，或是用于改善数据资产管理 (83%) 。接近一半 (49%) 的企业拥有 25 到 250 个内部发布的 API，更有高达 60% 的企业拥有相同数量的API服务向公众开放。预计这些数字在明年将继续增长。

然而，API 数量的增长事实上为互联网黑客们创造了更多机会。API服务是网络犯罪分子的重要目标，它们是黑客窃取大量敏感数据（例如客户信息或关键业务数据）的途径。此外，API 服务往往沦为网络犯罪分子实施攻击的蓝图。因为它们时常体现了企业内部数据对象甚至内部数据库结构的映射，从而被别有用心的人利用。

我们还观察到，黑客能够利用 API 的漏洞也在不断增加。造成这种情况的关键动因是企业采用了不安全的开发实践。很多情况下，API 服务发布到生产环境的速度远快于安全团队审查和编目的速度。安全团队甚至无法全面掌握所有已开发和发布API的完整信息，显然无法对API服务实施有效的保护。

以下是不安全开发实践的两个示例：

Imperva 高级产品经理 Lynn Marks 补充到，对API服务另一个重大威胁来自于恶意机器人。

“API 服务将在未来的 2023 年成为恶意机器人的主要目标。为了获取敏感数据，网络犯罪分子将更加关注那些直接连接到企业底层数据库的易受攻击的 API 端点。由于目前的 API 安全防御往往会忽视自动化威胁，因此我们预测到明年机器人程序将成为一个持续存在的挑战。针对个别 API 服务发起的更频繁的数据抓取攻击，可能直接导致数据泄露。”

Imperva 的 API 安全负责人 Lebin Cheng 认为，安全运营、平台运营和研发运维 (DevOps) 团队需要通过成熟的自动化工具和流程加强协作，才能应对不断上升的 API 网络威胁浪潮。

安全运维团队必须与研发运维 (DevOps) 团队需要紧密协作，采用新技术，采纳新流程，在创建和执行安全策略时弥合两个团队间的差异，帮助建立起一种无摩擦的关系，从而在研发运维和安全两个方面获得双赢。开发人员需要能够快速响应和实现创新，而安全团队需要获得 API 行为的全面可见性，以监控可疑操作，并在恶意事件发生时立即做出反应。

实现上述愿景的第一步是在 DevOps 和 SecOps 团队之间创建一个有效的反馈机制，帮助团队实现协同工作从而有效控制 API 带来的安全风险。这种反馈流程能让企业大大简化应用发布流程，并使开发人员专注于提供最佳数字体验，同时为安全运维团队提供应用运行时的可见性和控制。

自动化是确保在开发生命周期的所有阶段都满足 DevSecOps 标准和实践的关键因素。自动化使安全研发运维团队 (DevSecOps) 能够快速承担更多安全责任，包括自动代码分析、合规监控和威胁调查，从而确保安全防护能够跟上应用变化的步伐。

部署集成自动化安全测试工具通常是实现安全自动化的第一步。例如，在整个开发过程中使用静态应用程序安全测试 (SAST) 和动态应用程序安全测试 (DAST) 工具。

也是实现API安全自动化一项关键能力。Imperva 高级产品经理Lynn Marks 指出，“人们需要机器学习来区分正常的 API 行为和恶意流量，同时了解通过 API 传输的哪些数据才是应该的。协调使用机器人管理实现API 安全，企业可以大大减轻针对其 API 库自动化攻击的挑战。”

Imperva 应用安全部门高级副总裁兼总经理 Karl Triebes 表示，随着开发和安全团队采用更加敏捷和协作的工作方式，企业可以获得平衡业务快速增长和对于实现安全扩展的解决方案和服务。

“企业领导者不必再为了实施安全控制和合规而放慢创新步伐。相反，他们能够寻找到同时支持应用安全开发，同时保障服务安全可用的供应商，并与其开展合作。”

敏捷开发和 API 的使用将继续存在。到 2023 年，安全团队将需要学习如何与开发人员合作，采用相同的敏捷思维方式保护现代应用的开发，跟上新服务发布的速度。将安全性嵌入开发生命周期后，能够有效地防范网络犯罪分子利用易受攻击的 API 来大量泄露敏感数据。

机器学习也是实现API安全自动化一项关键能力。Imperva 高级产品经理Lynn Marks 指出，“人们需要机器学习来区分正常的 API 行为和恶意流量，同时了解通过 API 传输的哪些数据才是应该的。协调使用机器人管理实现API 安全，企业可以大大减轻针对其 API 库自动化攻击的挑战。”

Imperva 应用安全部门高级副总裁兼总经理 Karl Triebes 表示，随着开发和安全团队采用更加敏捷和协作的工作方式，企业可以获得平衡业务快速增长和对于实现安全扩展的解决方案和服务。

“企业领导者不必再为了实施安全控制和合规而放慢创新步伐。相反，他们能够寻找到同时支持应用安全开发，同时保障服务安全可用的供应商，并与其开展合作。”

敏捷开发和 API 的使用将继续存在。到 2023 年，安全团队将需要学习如何与开发人员合作，采用相同的敏捷思维方式保护现代应用的开发，跟上新服务发布的速度。将安全性嵌入开发生命周期后，能够有效地防范网络犯罪分子利用易受攻击的 API 来大量泄露敏感数据。

●END●