近年来，互联网行业蓬勃发展，业务类型也逐步从网页时代步入到了APP小程序时代，因此，云原生、微服务、低代码这些新技术开始不断被应用，这也同时打破了传统的IT治理架构。

如今，API成为了各类终端和应用之间的交互通道，比如对于企业而言，有很多业务系统是面向用户、员工和合作伙伴的，这些应用系统可能是APP，也可能是小程序或者是外部网站，以及一些IoT的物联网平台。

而这些业务系统以及各类终端的应用，都需要通过API和企业内部的系统打通，并进行交互、交流。这样的趋势下，势必会导致整个API数量的激增，而随着移动端业务的快速迭代，整个API的威胁暴露面也在大量的增加。所以对企业而言，必须要保证API的安全，这样才能实现企业业务的快速创新和迭代。

根据API安全状况报告，每名客户平均API数量由2021年7月的89个增长到了2022年7月的162个，同比增长了82%，同一时期API总体流量增长了168%；API的调用量，从过去每个月4.7亿万次增长到了每个月12.6亿万次；恶意API攻击流量增长了117%，从平均每月1220万次恶意调用增加到了2646万次。

随着API程序不断成熟，越来越多的企业开始关注安全相关问题，其中有20%的企业认为自己在安全上的投资是不足的，18%的企业认为自己在API运行时没有解决相应的安全问题。他们主要担心的风险是僵尸API、未知API、对外暴露敏感API等。

在云原生环境下，存在着大量的服务之间的调用。这时，内部服务的API调用的安全风险就不得不考虑进去。同时，在云原生环境中，内外网边界逐渐模糊，更多的API会暴露在云上。随着API暴露面的增加，API被攻击的风险也大大增加，传统南北向边界流量的防护体系在云原生环境下的防护将会显得力不从心。

这也逐渐印证了云API的相关特点，第一个是快，迭代快、更新快；第二个是多，数量多、接入形态多、接入方式多；第三个是平，纵深越发扁平化，访问边界可被打破。

针对这些特点，云原生的安全治理存在很大的挑战，首先是开源软件的应用，当下绝大多数互联网的应用对开源组件的依赖越来越多的，因此开源软件的漏洞也随之增多，比如Log4j2、shiro、fastjson。

其次，云原生环境带来便捷的同时，也带来了环境配置的问题，存在环境配置不当出现的应用安全风险项，比如容器逃逸、API配置不当、文件驻留、命令执行等。

第三点，在安全运营治理的过程中，会加入来自SAST、DAST、IAST等相关的安全左移能力。虽然收敛了基础安全漏洞，但也不可避免的会将攻击者的视线与业务/数据安全所结合，比如业务逻辑、API问题、越权等。

第四点，客户端的接入方式更加多变，导致了同一个业务会有多种客户端同时接入。造成不同端上的防护粒度/处置策略不一致的现象出现，也容易被攻击者进行针对性的伪装。

第五点，业务流量攻击增加，比如CC攻击流量、多源低频CC、BOT爬虫、Sniper Bot、Fuzzer等，造成安全运营成本增加，安全运营规则需要快速更新迭代以应对攻击者的对策。

在这些挑战下，很多相关安全事件也在发生。2021年，美国互动健身平台因后端的API存在未授权访问缺陷，导致近300万用户个人隐私信息可随意被获取；2021年，攻击者通过某大型电商平台商品详细信息API和信息分享API，爬取用户数字ID、昵称及用户手机号信息共计11.81亿条；国内某大型分享交流平台被爆出用户查询API接口被非法调用，导致5亿平台用户的私人信息被攻击者获取并售卖到暗网。

不难看出，企业API一旦遭受攻击，他们的业务数据、敏感数据以及相关的个人信息数据都很容易被泄露，因此会造成非常严重的后果，比如不法分子会通过用户的敏感数据泄露进行诈骗，造成品牌的声誉受损等。

以Twitter数据泄漏事件为例，分析发生的过程。2022年7月，Twitter超过540万条用户数据免费在暗网公开，整个数据泄露是由网络犯罪分子利用推特在2021年12月份披露的一个API漏洞所造成的。

此API漏洞允许任何一方在没有任何认证的情况下，通过提交电话号码或电子邮件，就可以获得任意用户的Twitter ID，从而使得攻击者可以利用此漏洞进行大规模的扫号攻击。即攻击者向Twitter的API接口提交之前已经收集好的手机号或电子邮件，API接口就会根据所提交的信息快速的匹配出提示，由此攻击者就可以判断出账号是否已经注册。

如果是已经注册的账户，这些账户信息就可以快速的匹配账户ID，通过账户ID攻击者就可以直接获取用户与Twitter账户绑定的个人资料信息，包括客户名称、兴趣爱好、社会身份等，结合大数据分析就可以绘画出比较完整的推特用户账号的精准画像，从而对用户实施精准的诈骗。

根据中国互联网络信息中心发布的《中国互联网络发展状况统计报告》，截止2021年12月已经有将近22%的网民，也就是超过了2亿的网民，都遭受了个人信息的泄露。个人信息泄露之后，用户往往会遭受到频繁的电话骚扰，甚至被黑产利用个人信息进行诈骗。

对于企业而言，数据泄露不仅会招致大量的用户投诉，还有可能使企业面临法律处罚、监管处罚。比如按照2021年9月份实施的《数据安全法》的标准，其最高的罚款额度达到了1000万；在2021年11月实施的《个人信息保护法》中，它最高的罚款额度达到了5000万或上一年度年营业额的5%。

在2022年9月份发布的关于修改中华人民共和国《网络安全法》（征求意见稿）中也显示，《网络安全法》中原来最高的罚款金额100万，也可能调整为5000，或者为上一年度营业额5%，力度和《个人信息保护法》完全一致。

这些案例暴露了企业API安全问题的四大方面，第一是企业自身的API资产不清晰、不可见。在当下这种APP小程序时代，移动应用繁多，整个API接口的更新非常快，因此使得企业开发人员在梳理API资产时成本变得极高，安全人员对企业开放的API的数量，包括老旧API是否下线，包括其中所传输的一些参数，还有敏感数据的流动等这些信息都是未知的，同时因为无法进行相关的渗透测试，所以安全措施也难以覆盖。

第二是敏感数据多方流通，过程难以审计。因为开放性是整个互联网的固有属性，数据信息也需要通过API在企业与用户、企业和企业之间多方的流通和交互。互联网企业本身拥有大量的用户敏感数据，因此开放性会给企业带来比较严峻的数据安全挑战。

第三是业务更新迭代快，很多APP往往会“带病上线”。在强调敏捷开发的同时，企业往往以业务优先，安全测试投入方面可能会相对缩水，承载敏感数据的API若没有经过充分的安全测试，就很容易造成未授权的访问，或者关键的数据未脱敏等。

第四是黑产攻击趋于隐藏，未知攻击难防御。有时单个API看似符合安全规范，但如果攻击者通过组合的方式对多个API同时实施攻击，就可能会导致传统的防御措施失效，整个攻击流量也很容易隐藏在正常的业务流量中。

针对以上问题，首先要应对好应用和逻辑迁移上云后，暴露更多攻击面的问题，其中涉及到纳管API，即要搞清楚企业有多少API开放出去了，这些API会有怎样的风险点；其次是要确保已经开发的API是安全的，一旦出现风险要能够及时检测到，并进行下架处理。

第三是要应对好内外部接口缺乏校验维护的风险，这些风险会引发攻击隐患等问题，即要及时发现是否存在异常的权限，一旦出现调用要进行及时的告警；第四是针对纵深边界被打破，API风险增加的情况下，可能会出现安全措施遗漏，对这些行为流量要有很好的监测。

围绕API，企业需要的是构建从基础安全、业务安全、数据安全的多维度安全体系

基础安全要求保护资产不要被web应用漏洞所侵害，要防护0day、Nday等攻击；业务安全要保护业务的核心关键逻辑不受侵害，防护来自越权、自动化绕过等攻击；数据安全要保护核心资产数据信息不受侵害，防止因为越权、泄露等风险造成业务损失数据，防止攻击者窃取业务敏感数据信息。

腾讯云API安全解决方案，以API安全生命周期为线索，整合WAF安全能力，实现API安全防护。其可实现对企业API资产和敏感数据流动的动态梳理，可以做到API缺陷的检测识别以及API风险的及时发现。在解决协议覆盖、资产梳理、攻击检测的基础上，对业务流量和数据的学习，整合各方面的安全能力，达到攻击预防、攻击阻断以及敏感数据泄露防护的目的，最终实现API运行时的安全防护。

其中，API的资产梳理和API的流量分析，可以全方位自动化的梳理API的资产和敏感数据的流动情况，包括APP、小程序以及网页，都可建立完整、可视化的API资产清单，及时了解API的开放数量、API的活跃状态以及僵尸API、缺陷API或者敏感API，等等。

同时还可以对流动的用户敏感数据进行识别和提取，并对提取出来的敏感数据类型进行分级分类，确保数据资产的持续更新和可视化。而对于可返回的一些数据会进行重点的监测，确保敏感数据的应用是安全合规的。

另一方面，API事件管理和API安全防护，主要是持续及时的检测API存在的一些异常事件，并且针对这些事件提供对应的防护规则。在API和数据资产可见的基础上，还要对API在设计和开发时存在的风险进行评估。

腾讯云API安全能力借助WAF的流量接入能力和协议解析，助力企业对接入的业务进行全面清点API资产、智能发现API动态变化及风险趋势、精准识别API暴露面及敏感数据，一键添加防护规则，帮助企业收敛API暴露风险。有效应用于以下几个场景：

1、API资产发现：通过对API资产的有效管理，可以有效识别羊毛党在优惠活动中通过利用爬虫批量进行注册作弊、签到作弊、抽奖作弊、虚假交易等恶意行为，防止营销资源浪费，提高营销效率和质量

2、API合法性校验：有效识别黄牛党利用爬虫批量发起抢购、抢票、占座等恶意行为，降低无效订单给企业带来的损失，保护正常用户利益

3、API攻击者画像：准识别友好和恶意机器流量，帮助电商、招聘、影视等企业对流量进行分类管控，阻断过滤恶意流量，提高业务系统稳定性，降低经济损失

4、API生命周期管理：有效阻止恶意用户通过漏洞或机器/恶意程序对账号密码进行暴力破解，获取登录权限的恶意行为，降低恶意用户登录给业务带来的风险

通过以上四个防护场景，客户可以全方位有效的应对各类API安全风险。

API安全面临的四大挑战，其一是资产上云成为趋势，促使API资产暴增；其二是企业忙于敏捷开发，快速迭代，无法顾及API安全；其三是内部接口缺少维护，会引发多种攻击隐患；其四是敏感数据易泄露，会造成巨大安全隐患。

大多数客户对于自己拥有有多少API往往较为模糊，区别于IP资产，客户对自身API资产的估值偏差很大，有的时候业务部门给过来的统计也是一笔糊涂账，真实的API资产差距甚至有几倍之多。所以，隐藏的影子资产越多，所带来的暴露面以及安全隐患就越大；其次，客户不仅不知道其API资产有多少，包括他们的API被哪些IP访问了，哪些API受到攻击了，受到了怎么样的攻击，以及传输过程中敏感数据是否已被泄露等，客户都不怎么了解。

许多企业的API在开放的过程中，都属于裸奔的状态，它有可能是向公众开放，也有可能是向第三方的供应商、合作商、合作伙伴开放，安全隐患非常大。

对于API安全，客户最关心的是什么功能？

1.API攻击有哪些，如何防护，能否阻止业务逻辑漏洞，防止资源滥用？

2、能否呈现业务上究竟有多少API？可否识别清API资产信息？

3、能否检测哪些API存在敏感数据泄露风险？

4、是否满足合规要求？所建立的API行为基线及访问基线，是否满足类似PCI-DSS的相关合规性要求了？

5、是否方便安全左移？能否结合DevSecOps，给出完整生命周期？

6、API访问流露是否可跟踪？流露是否可溯？

总结来说，客户所需要的API安全防护能力需要满足几个点，第一是需要具备对于所有API的识别能力，能够锁定风险因素，帮助用户进行生命周期的监测、测试、检测，收敛攻击面，进行全面的API安全漏洞或敏感数据的管理能力。

其次，在建设过程中，在API的业务场景里，发现风险之后可以联动基础安全的一些设施，比如WAF、BOT管理、cc攻击防护等能力。

第三在整体的管理层面，需要有资产包括事件的维度，去理解API业务的逻辑，实现在API运行时，防护安全的状态，最终达到为企业提质增效的目的。

实现整个API全生命周期管理，第一，在进入循环之前，首先要让客户在现有的状态下能够实现快速的接入，在这个过程中，不能影响客户目前已经上线的业务，同时在之后管理的过程中，可以不断的形成管理闭环。

首当其冲是API的资产发现，在发现的过程中去识别资产的变化，包括涉敏的API。然后对这些资产进行有效的管理，在管理的过程中需要人为的和业务部门确定，哪些API是企业重点关注的，哪些API存在高危风险。

因此，在第二阶段的事件检测的过程中，要去帮助用户发现所有的API事件，包括其脆弱性，包括事件的风险等级，包括事件的详情，有了对事件的综合检测后，可以对API事件进行进一步的处置，然后再回到循环中。

此闭环可以让所有的API资产在发现过程中都进入到管理、检测包括处置的过程里，这样能确保API生命周期的管理不断持续，也让安全部门可以对API进行持续性的管理，还能让安全部门跟上业务部门的快速创新。

腾讯云实现生命周期的管理，首先第一步是借助WAF实现即开即用、零部署的方式；第二步是要执行资产发现的过程，腾讯云内置的能力可以通过底层的流量，包括业务访问的日志，自动的帮企业去发现API资产，并动态的去梳理整个资产的用途和变化。在资产上，企业不仅能看到总数，还能看到最新发现的API以及它的活跃程度。

在API资产发现里，可以识别到是否有高危的风险，是否涵盖敏感数据，包括能识别到其内的数据标签，具体敏感数据是身份证还是银行卡。同时还能快速梳理应用场景，比如帮助企业看到是否在API文件上传的场景，还是业务回调接口的场景，还是预售优惠券分发的场景，等等。

场景识别之后，还会对整个流量进行分析，比如流量的请求方式、参数信息、特征等，随着不断地学习和识别，腾讯云对于流量的识别还会有进一步的更新，比如攻击的趋势概览，所遭受的外部攻击、cc攻击、BOT攻击等。

对于API内部的参数，可以通过泛化的方式给到其请求的样例，样例可以帮助快速的判断，比如具体是哪个字段里涵盖了敏感的数据，并对全部的参数有所识别，方便企业对于某一个API的参数进行编辑，同时建立访问基线。

对于每一个和API相关联的事件，比如有一些API存在高危或中危的安全事件，那么其告警也会在详情里进行管理，之后就可以根据他的这个事件进行下一步的一键处置，包括对于其状态的变更。

所以有了列表，有了API的访问源，有了API业务场景识别，有了API流参数识别，就能非常清楚企业的API资产到底有多少，到底哪些存在风险，风险又是什么。

其中用户最为关注的，是对于敏感数据的治理和梳理。腾讯云会通过数据标签帮企业预先识别到已经内置的敏感数据的标签和数据类型，这样可以依据企业自身的分级分类的标准，参照《数据安全法》的要求，建立数据安全的处置和措施。

对于在API资产中的敏感数据，包括等级、数据类型，都可以借助详情对其资产进行有效的识别。企业可以自定义开启数据的涉敏规则，这有助于更有效的去发现敏感数据。

在资产发现的过程中可以看到一些详情，同时这一部分的能力也会在整个流量分析里做进一步的汇总，包括资产的一些概览，包括近期比较活跃的API，这有助于企业知道这么多的API里，哪些是最需要关注的重点，哪些可能存在危险。

同时也可以看到API里哪些是涉敏API，占比有多少，敏感等级是多少，以及涉敏数据的类型是哪些，如果涉及到的敏感信息都是银卡之类，则需要去重点进行关注，从代码层面或者从其他层面再进行数据的筛选，对API接口进行改造。从API事件的趋势可以看到整体的治理效果。

资产闭环管理，在新发现的资产过程中，能够进一步的进行资产的确认和梳理。需要重点关注哪些资产，包括去忽略掉和业务、风险无关的、已经处置掉的攻击事件的资产，可以进一步的过滤。在发现的过程中，还可以进一步的去确认API安全的详情事件，包括整个风险，这样也就形成了闭环的管理，然后在每个状态里，都可以通过处置去变更它的状态。

下一步就可以进行事件的检测。在事件的处置环节里，会对大量的API事件进行分类。在事件里，可以不断借助监测去识别事件类型，包括事件里所关联的API的危险等级，还有其目前的处置状态。

在实际运维过程中，可能有较多API安全事件需要不断的处置循环，在处置状态里可以根据处置目前的状态进行不断地调整，这样安全工作人员就能知道当前哪个事件比较紧急，哪些是已经处置完的。

对于处置内容，腾讯云WAF也有相应的闭环措施，比如在事件的详情里，首先会有事件的基本信息，比如域名，比如疑似攻击，在这里腾讯云WAF会智能的为用户提供处置建议。

在处置的过程中，为了实现综合的防护，因此强调，在API识别资产的过程中，要借助于WAF和BOT防护的能力进行联动，这样能使得Web应用安全层面能够完整的形成对于不同种类事件进行防护的能力。数据安全层面，可以借助API来进行敏感信息的发现；在业务安全层面，可借助于BOT来防护，比如处理越权、自动化脚本的攻击；在基础安全方面，可借助于WAF来进行安全防护，处理比如0day、Nday等攻击。这样就能形成多维度的防护措施。

借助以上能力，API事件的闭环处理也就完成了。从资产发现到事件的初始状态，在事件的过程中，可以通过状态的变更来进行动态的管理。从事件的状态上，可以重点去关注和处置一些高危的类型，借助于处置建议的一键添加规则来大大减少对于较多API的处置工作量。

在应对快速迭代的过程中，腾讯云一键的接入以及这种对业务完全无影响的检测方式，可以快速的帮企业去发现整个API过程中的风险事件，包括提供相应的告警。

对于已经存在的一些攻击隐患，腾讯云可以快速的帮企业进行攻击类型的识别，而且能给到直接的建议，可以进行一键的规则添加以进行封堵，当然也可以自定义规则。

对于敏感数据的泄露隐患，借助于API对于敏感数据的识别和告警，可以进一步的降低API接口返回的数据类型，或对数据进一步的进行筛选，以减少敏感数据泄露的风险。

对应上文“客户最关心的是什么功能”。

1、对于API攻击的防护，腾讯云有一键添加规则，闭环处理事件的能力。

2、对于客户关注的资产信息。腾讯云可以智能的识别整体的资产详情，包括管理的过程，都能形成闭环。

3、对于如何识别敏感API泄露信息，腾讯云通过涉敏API识别，包括敏感信息的告警来给客户提供建议。

4、对于合规的要求，包括基线访问，腾讯云有相应的攻击事件识别能力。

5、对于是否方便安全左移，腾讯云有API资产发现和闭环管理。

6、对于API访问流量是否可跟踪，腾讯云具备流量日志可视化。

李宝鑫：有四方面挑战。其一，迁移上云的过程中，所暴露的API，不管数量种类都比较多，容易暴露更多的攻击面；其二，在讲究开发速度和灵活性时，忽略了API安全本身的重要性，所以针对已经运行的API，怎么去保障安全会是一种挑战；其三，在内外部接口缺少检验维护的情况下，会存在很多被攻击的隐患，针对API异常的权限，怎么有效的检测出来会是挑战；其四，云原生环境下，其整个纵深边界被打破，API本身的风险不断增加，如何及时发现API被有无被恶意调度也是一大挑战。

赵思雨：API安全市场快速兴起本质是技术发展趋势下的必然结果，是可以预见的。

即:企业在快速创新和数字化转型过程中催生出多样的应用交付形态，如过去的网站应用多样的到现在的APP、小程序、SDK等，多样的应用交付形态，倒逼后端技术架构的演进，促进了API的广泛应用，API应用中所衍生出新的安全风险，带动了安全市场的风向变化。

近两年依托于云原生、微服务、DevOps得到了快速且广泛的应用，尤其API服务也是容器部署的核心控制组件，客观上推动了API的应用与推广。

同时，企业需要模块化、可扩展的软件架构以应对市场快速变化或完成自身业务转型。API不仅易实现，功能可以独立发布，还能无缝链接到其他系统，API-first已然成为各个企业主观上首选的研发思想。

切回到安全视角：传统基于边界的安全逐渐失效，API逐渐成为应用系统的一个关键入口，是应用安全链条中最薄弱的环节。许多攻击方式即便不是针对API的，但是一旦将这些攻击和API使用结合到一起，就会有很大的安全问题。

与此同时，API不仅用于接入和请求数据，还会在流程中进行数据富集和修改等行为。这就意味着API不仅自身对攻击者很有价值，当中流动有价值的数据本身也是黑客的重要目标。

用户的API如同没有上锁的金库，最薄弱的防护却通向最有价值的资产，必然对于黑产和攻击者来说，API就是头号目标。那么，与之对抗的API安全市场也就应运而生。

因此我们说，API安全市场的兴起是技术发展趋势下的必然结果，是符合其内在客观规律的。

对于腾讯云安全而言，API安全一直以来都是腾讯云WAF产品的一个重要场景。早在2019年，腾讯云WAF就发布了API安全能力1.0。2022年这次发布的API安全2.0是一个全新的能力升级，是针对API场景的一系列增强能力打造，包括被动的API接口识别、API画像分析、敏感信息泄漏等一系列新能力升级，涵盖API生命周期各个阶段的安全与管理，全面守护用户API接口基础安全和业务安全。

李宝鑫：应该以API安全的生命周期为线索，从API的流量接入开始，要考虑与其相关的解析协议，还有资产的梳理，在攻击检测的基础上，对于业务流量和数据能够进行充分的学习。同时针对API本身，可以整合一些现有的外部应用攻击防护的能力，达到攻击预防、攻击阻断以及相关敏感数据泄露防护的目的。

其中包括了四个方向。其一是针对API资产的梳理，要能够很好的识别其中的API有哪些，API的名称、类型、风险等级、所属域名、功能场景、数据标签、资产状态以及这些API的变更流程，都要进行很好的追踪。

其二是API的流量分析，可以很好的分析流量的活跃程度，以及这些API里数据的涉敏级别，其安全事件有什么样的风险，事件类型是什么；其三是针对API事件，要能够做好管理，针对事件的类型、事件的等级要有不同的处置建议，同时在处置过程中对其处置状态要可以进行跟踪。

其四是API安全的防护，能够针对API里面的一些参数进行匹配，包括对里面数据的一些敏感规则，可以进行相关的检测。

赵思雨：有一部分是侧重于统一管理的；还有一些是侧重于数据安全层面的，即根据数据安全法的相关要求，衍生出了这一类产品；还有一些就是一解决方案，其在功能和手段上还是依托于传统的安全产品；还有一系列是以API的防护手段为核心的解决方案。

传统型API安全产品在API发展的历程中发挥了巨大的作用，抵御和消除了大部分常规网络攻击，促进了API生态的形成。但是，在数字经济和数字生活的环境下，对于API技术和模式来说，因其价值承载的影响范围和关键性的深刻变化，单点式、被动型的安全保障方法已经很难再提供强大的前进推动力。

许多企业在API安全建设上存在许多共性。例如WAF和API网关的控制权不归属于同一个团队，很大程度上导致了API威胁防护的失效；由诸多第三方供应商提供的部分或全套API管理功能，如应用程序开发、集成平台、安全解决方案、B2B产品等，可能会给企业管理造成混乱；可见性是许多企业缺乏的API安全能力，这意味着API安全防护的一个关键指标是发现API，缺乏可见性直接导致了API安全无从下手。

从国外API安全成熟市场不难看出，解决以上任何API安全能力都应该通过平台化的解决方案来体现，而不是一个一次性的工具或扫描器。有效执行API安全策略需要一个全生命周期的方法，因为安全风险、漏洞、逻辑缺陷、错误配置等等会在设计、开发、交付和运营的不同阶段出现。