Akamai最近發布的針對亞太地區的深度研究報告《2025年API安全影響研究》顯示,盡管亞太地區 92% 的高管表示其組織在過去一年中曾遭遇API安全事件,但僅有 37% 的受訪者確認他們清楚哪些API暴露了敏感數據。這一巨大認知差距暴露出當前企業在 API 安全管理中的盲區,也凸顯出 API 資產可視化和風險識別能力的嚴重缺失。可以看出,在 API 使用日益頻繁的背景下,安全威脅正迅速演變為制約企業數字化發展的關鍵風險。
API的網絡安全困境
近年來,網絡API 的深度應用給企業帶來了很多嚴重的安全挑戰,諸如惡意攻擊、敏感被數據泄露、用戶身份被盜等安全事件屢見不鮮,這給企業帶來了巨大的經濟損失和聲譽上的損害。根據IBM《2024年數據泄露成本報告》,全球平均數據泄露成本已上升至488萬美元,創下歷史新高,是五年來的最高水平。
亞太地區面臨的網絡API安全問題具有全球代表性,導致的結果是制約了企業的數字化轉型進程,也為數字經濟的發展造成了巨大的風險隱患。也正因如此,API安全問題成為企業數字化轉型路上必須要預約的一道鴻溝。
造成API安全問題的主要原因,是企業對某些網絡API存在身份驗證和授權機制的管理缺失。因此產生的漏洞很可能被攻擊者所利用,從而假冒為合法身份的用戶,進而訪問到企業的敏感數據,甚至是能執行沒有經過授權的操作。另外,也有些企業對部分API管理不完善,授予了他們過多的開放權限,讓攻擊者有機可乘獲取到額外的權限,從而導致嚴重的安全事件發生和重大經濟損失。
尤其是在集成了較多API的復雜的系統中,如果API的管理以及API之間的交互不夠清晰完善,就可能會導致安全漏洞增多并且可以長期存在,同時還難以發現和及時修復。更為雪上加霜的是,隨著業務的快速發展和業務系統的頻繁變更,企業在開發新功能、系統的版本迭代過程中,可能會不斷地引入新的API安全漏洞,這就讓安全團隊難以跟上如此快速的節奏,將不能及時發現并修復這些漏洞,也就無法做到全面的安全防護。
據Gartner預測,到2028年,超過50%的組織將把API管理作為其AI應用架構的核心組成部分。這一趨勢表明,API已從“技術風險點”轉變為企業智能化基礎設施的重要基石。
據Gartner預測,到2028年,超過50%的組織將把API管理作為其AI應用架構的核心組成部分。這一趨勢表明,API已從“技術風險點”轉變為企業智能化基礎設施的重要基石。
AI賦能,系統性防護新篇章
面對愈發嚴峻的API安全威脅,利用AI技術形成的系統性防護是目前較為流行的方式,來達成API的全生命周期防護。
API 資產可視化:運用AI技術自動抓取系統運行中所有的調用過的API,包括“影子 API”API,實時跟蹤敏感數據流向,并為關鍵的數據傳輸端點加標簽。隨時可以生成對應的風險的熱力圖給到安全人員查看,哪里是高危風險一目了然。
分層協同防御:系統基礎防護層增加新一代WAF,利用自適應安全引擎可準確攔截注入攻擊、XSS等老款WAF防范的傳統威脅;新一代WAF集成了API防護和Web應用防護,可快速發現異常參數組合或非常規訪問行為,并及時發現數據爬取、權限濫用等高級威脅。
構建API安全防護堡壘
劉燁 Akamai北亞區技術總監
“API安全防護要想真正有效,必須系統構建四大能力模塊。”Akamai北亞區技術總監劉燁指出,“包括API資產的可視化和分類管理、智能化威脅監測與響應機制、運行時動態防護體系,以及貫穿開發周期的安全測試流程。這是構建企業API安全體系的核心支柱,也是應對未來攻擊趨勢的關鍵所在。”
精準洞察,持續鑄就:企業需要健全一套完整且持續的API發現流程及流程化自動對接,將不同來源和形態的API編織成一張完整的API圖譜;需要把API進行有效的歸類分級,做好API資產管理工作;要基于自動化的方式去對潛在風險較大的API進行搜索并進行清理,做精細的API資產管理。
高效預警,實時護航:企業要建立完整威脅檢測、威脅響應體系,像守住城門一樣時刻注意防止API的安全威脅入侵。建立風險監測儀表盤,全程跟蹤API漏洞修補的進度。為此要配備最新的安全監測手段,實時監測API業務的每一跳如何運行,及時發現訪問路徑上有無非授權訪問行為,并捕捉到潛在的異常攻擊跡象。
全域守護,實時應對:企業應部署全方位的運行時保護方案,在運行環境中植入動態防御引擎,結合機器學習算法與安全規則庫,精準識別并抵御各類攻擊行為。唯有如此,才能應對層出不窮的新型攻擊,讓API在生命周期之內長存于安全“暖陽”之下。
測試先行,安全護航:企業要在API開發的過程當中做好安全測試,。在開發過程中嵌入OWASP API安全測試標準,進行全面的自動化測試。通過這種深度安全測試與驗證機制,才能夠最大程度地降低API在上線的時候出現的安全問題,使API更加具有安全性。
Akamai為API安全保駕護航
面對這么嚴峻的API安全威脅,Akamai為企業提供了一系列先進的API安全解決方案,旨在幫助企業增強API安全性,有效抵御API安全風險威脅。
APP & API Protector:Web應用防火墻,為企業建一座堅不可摧的WEB、API防護長城,里面融匯了2個AI驅動的自適應安全引擎及行為DDoS引擎,即可敏捷捕獲各處不為人知的安全漏洞,打擊各類安全風險;多引擎聯合作戰,精密配合,能提升檢測效率、提高檢測精準度。
API Security:是AI技術的智能化應用,可以實現自動掃描企業所有活躍的API接口,并為API的安全管理打下良好的基礎;同時可以敏銳地發現是否存在敏感數據泄露的風險、嚴密地觀察著API接口被非法訪問的過程以及攻破攻擊入口處存在哪些問題、準確無誤地識別出是否存在影響企業業務發展及運作的安全風險點。值得一提的是,在2024年,Akamai收購了API安全行業的頂尖企業——Noname Security,并將他們的先進功能加入到了API Security中,使得Akamai API安全防護處于領先優勢的地位。
Akamai北亞區技術總監劉燁表示“Akamai安全方法并不局限于傳統策略,而是以系統性思維出發,形成了兩大安全組件的協同防護體系。我們的APP & API Protector聚焦于防御常見應用層漏洞,而API Security則能深入識別業務邏輯層面的問題,甚至包括一些企業并未意識到的‘隱性API風險’,二者協同作用,幫助企業構建起一張立體、無縫的API安全防護網絡。”
“以我們的客戶敦煌網為例,他是一家知名的全球電子商務平臺。在全球范圍內的快速擴張過程中面臨著API流量激增、敏感數據泄露以及惡意機器人攻擊等挑戰。通過部署Akamai的API Security,App & API Protector以及Bot Manager,敦煌網在整個API生命周期中實現了API可視化與高效保護,且無需對現存的應用架構進行重大修改。”
結語:
當下的API的普及,正是互聯網+的必然要求。以前的傳統防御手段無法阻擋API的安全威脅,必須依靠更加先進的手段去抵御API帶來的安全威脅。唯有這樣,才不會讓數字經濟陷入系統性風險中。
假如企業可以通過應用系統化的防護辦法,實現常態化檢測、威脅處理、運行時防護以及左移測試等等一系列策略的話,那就能使得企業的API的安全防護上升到一個新的高度。如果能把上述的方法和Akamai的技術結合起來,就能給企業提供更有效率的管理,并保證業務、業務連貫性、合規性等等,抓住這一波數字化的紅利。
