随着企业数字化转型的发展，企业内部应用逐渐由单一架构发展为低耦合、高内聚的服务网格架构，在当前架构下，业务应用内部的数据交换大量采用API的方式进行连接。且随着越来越多的数字化应用崛起，API上所承载的数据安全问题也逐渐暴露，因此，API安全将很大程度决定企业当下业务的安全性。

 API资产理不清存在的风险点

据《Salt Labs State of API Security Report, Q3 2022》报告，在用户最关心的API安全问题中，“僵尸”API以42%占比高居第一，远超过以25%的占比位居第二的账户接管/账户滥用，还有83%的受访者对组织API 资产清单是否完整没有信心。

由于业务下线或业务版本升级等原因导致的一些废弃API未能及时关闭下线，且这些API也长期无人访问与维护，此类API被称为“僵尸”API。

为何用户对“僵尸”API及API清单完整度有如此大的担忧？安全的隐患往往是始于“未知”，未知的“僵尸”API、过期API、失效的API参数等，根本的原因在于企业对自身API资产的不清晰。企业安全的管理与防护需建立在“已知”和“可见”的前提条件下，对于未知的、不可见的API资产安全状况则难已掌控，然而就是这些未知的、不可见的API资产往往潜藏着未被修复的漏洞。

API资产的管理不足，导致API的上线及下线缺乏监管，大量僵尸API的出现，同时也对企业内部的API安全带来重大隐患。

资产管理难点分析

传统上，API资产的统计与管理主要通过两种方式进行：

1

通过API网关进行资产管理与更新，开发人员在开发过程中将新开发的API注册在API网关上，并在API内容发生改变时，同步更新API定义内容，但在这种方式下，API资产清单的准确性与有效性完全依赖于人工管理；

2

通过API文档进行管理API，虽然文档是一种很好的API资产管理机制，但可能会出现更新不持续的情况，由于无法保持信息的完整性和有效性，导致API可能完全不存在或已过时。

API资产管理建议

在采用任何安全保护手段之前，企业面临的第一个问题是：到底有哪些API资产。目前绝大多数的企业虽然都建立有公司内部的API台账，如通过开发、部署文档记录了API的类型、参数等，但随着开发团队的变更、版本的升级、业务不断发展的情况下，API文档可能已经长期未进行更新，导致管理者对API资产无法完全掌握。

01

API资产梳理

API资产的梳理主要通过两种方式进行：

1. 采用流量识别技术自动化发现API、参数和数据类型并将发现的资产信息录入管理系统；

2. 采用人工主动报备的方式，将测试环境与临时环境中，使用过且未关闭的API进行统计并纳入管理。

通过自动发现和主动报备之后，应当及时给API资产打上对应的标签，需要给API资产标记出API所属的系统、环境类型、业务类型、内部/外部API等。通过对API资产进行标记化处理，为后续的API资产分类管理和安全等级做准备。

02

风险API处理建议

管理者在资产梳理工作完成后，应及时进行归类处理，形成清晰的资产台账。对于“僵尸”API、“无主”API等要好管控工作，如：对“无主”API进行人工归类、“僵尸”API进行封堵下线处理，以此来保障资产台账的有效性。

API的运用现已浮现在大众视野里，尤其是在技术、开发人员眼里是“必需品”，企业视角更将其看作是自身数字化战略的基石。可以预见，API在今后将继续扮演连接用户前台与后台服务的关键桥梁作用，而切实保障这些桥梁足够安全、足够可靠，是企业今后开展工作的重点。基于此，梆梆安全建议相关企业要尽早开展API资产的管理工作，API安全已刻不容缓！

推荐阅读

Recommended

>API专题（一） | 数字化转型下企业的API安全剖析

>北京市委网信办发布网络安全技术支撑单位遴选结果，梆梆安全成功入选

>梆梆安全顺利通过软件能力成熟度模型集成CMMI L3认证

原文始发于微信公众号（梆梆安全）：API安全专题（二）| API资产的发现与管理