專(zhuān)家呼吁：API遭攻擊事件增多 安全能力亟待提升

“隨著云計(jì)算、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)的蓬勃發(fā)展，越來(lái)越多的應(yīng)用開(kāi)發(fā)深度依賴(lài)于應(yīng)用程序編程接口(以下簡(jiǎn)稱(chēng)API)之間的相互調(diào)用，API安全受到廣泛重視。與此同時(shí)，API也正成為攻擊者重點(diǎn)光顧的目標(biāo)，國(guó)際國(guó)內(nèi)API遭受攻擊的事件屢見(jiàn)不鮮，眾多企業(yè)面臨新的安全挑戰(zhàn)。因此，不斷優(yōu)化升級(jí)安全技術(shù)，幫助企業(yè)探索適應(yīng)新需求的安全體系具有重要意義?！?4月15日，在由數(shù)世咨詢(xún)舉辦的“2022 API安全之道 創(chuàng)新沙龍?北京”上，數(shù)世咨詢(xún)創(chuàng)始人李少鵬說(shuō)。

星闌科技CTO徐越表示，在萬(wàn)物互聯(lián)、各行業(yè)數(shù)字化轉(zhuǎn)型的時(shí)代背景下，大量企業(yè)能力以SaaS化的API服務(wù)方式與第三方廠商集成，如金融OpenBanking、數(shù)字政務(wù)平臺(tái)、大規(guī)模分布式互聯(lián)網(wǎng)應(yīng)用、智慧城市、物聯(lián)網(wǎng)等場(chǎng)景。企業(yè)數(shù)據(jù)通過(guò)API進(jìn)行傳輸，API數(shù)量不斷增長(zhǎng)，導(dǎo)致API安全問(wèn)題成為焦點(diǎn)。

一方面，隨著API逐漸成為承載數(shù)據(jù)流動(dòng)的“主干道”，其弱點(diǎn)也逐漸被網(wǎng)絡(luò)攻擊者關(guān)注。另一方面，隨著《數(shù)據(jù)安全法》《個(gè)人隱私保護(hù)法》的正式實(shí)施，企業(yè)數(shù)字化轉(zhuǎn)型過(guò)程同樣面對(duì)數(shù)據(jù)傳輸安全監(jiān)管要求。企業(yè)應(yīng)對(duì)API安全風(fēng)險(xiǎn)可以從API生命周期入手，在API的設(shè)計(jì)-研發(fā)-測(cè)試-運(yùn)行-下線(xiàn)不同階段植入安全保護(hù)能力，同時(shí)技術(shù)側(cè)的解決方案應(yīng)兼顧業(yè)務(wù)需求與云化的IT基礎(chǔ)設(shè)施。

奇安信資深安全專(zhuān)家、銳安全主理人張曉兵在《從框架看世界-看清安全過(guò)去 窺測(cè)安全未來(lái)》講到，世界是什么樣子，取決于我們看待這個(gè)世界的框架是什么樣子。他從技術(shù)、合規(guī)、架構(gòu)等不同角度講述了在不同框架下的安全是怎樣的。

“當(dāng)我們將安全看作一個(gè)接口，那就是API安全，大家對(duì)API安全的理解雖然有相似，有交叉，但一定是不同的?！睆垥员f(shuō)，比如信通院《API數(shù)據(jù)安全研究報(bào)告》認(rèn)為API安全是數(shù)據(jù)安全的一部分，它承擔(dān)不同復(fù)雜系統(tǒng)環(huán)境、組織機(jī)構(gòu)之間的數(shù)據(jù)交互、傳輸?shù)闹厝?。在奇安信《API安全能力建設(shè)桔皮書(shū)》中認(rèn)為，API是一種云原生技術(shù)、資源集中連接的利器、數(shù)字化轉(zhuǎn)型的核心能力。

而他認(rèn)為，API是一種全新的安全邏輯，安全行業(yè)邏輯經(jīng)歷了四個(gè)階段，從最初的面向單一的安全問(wèn)題、到面向環(huán)境和IT架構(gòu)解決綜合威脅，再到與業(yè)務(wù)緊耦合解決業(yè)務(wù)風(fēng)險(xiǎn)，最終再發(fā)展為面向連接，即基于抽象架構(gòu)來(lái)使用松耦合和可擴(kuò)展的方式來(lái)解決更多綜合性威脅;API就是屬于面向連接中的一種。

圓桌討論環(huán)節(jié)，李少鵬、張曉兵與星闌科技CEO王郁圍繞“如何確保API安全”話(huà)題展開(kāi)討論。從“什么是API安全、API安全到底有多重要、目前國(guó)內(nèi)存在哪些行業(yè)場(chǎng)景、對(duì)API安全的需求最為迫切、企業(yè)API安全建設(shè)當(dāng)從何處入手”等多個(gè)問(wèn)題進(jìn)行了深刻的討論和交流。

談到API安全，王郁表示，目前API承載著越來(lái)越復(fù)雜的應(yīng)用程序邏輯和越來(lái)越多的敏感數(shù)據(jù)，API基礎(chǔ)之上也誕生了非常多的新興通信場(chǎng)景。作為一把雙刃劍，API在為企業(yè)提供便利的同時(shí)，也成為攻擊者關(guān)注的重點(diǎn)目標(biāo)。星闌科技通過(guò)API資產(chǎn)智能識(shí)別、API威脅及行為監(jiān)測(cè)、API數(shù)據(jù)流動(dòng)監(jiān)測(cè)等維度為數(shù)字金融、開(kāi)放銀行、云計(jì)算等應(yīng)用場(chǎng)景提供API安全防護(hù)能力，并提供開(kāi)放靈活的場(chǎng)景配置能力，致力于幫助企業(yè)建立API全生命周期防護(hù)。

張曉兵提到，API可以解決高價(jià)值和高交互的問(wèn)題，在新技術(shù)驅(qū)動(dòng)下，該市場(chǎng)會(huì)有更廣闊的前景。另外，他還表示優(yōu)秀的API安全產(chǎn)品需要關(guān)注前期的動(dòng)態(tài)資產(chǎn)梳理，實(shí)時(shí)幫助客戶(hù)理清API資產(chǎn)才能做到更全面地防護(hù)，減少因資產(chǎn)不明確帶來(lái)的一系列安全問(wèn)題，從而才能開(kāi)展后期的API全生命周期安全建設(shè)。

關(guān)鍵詞： 安全問(wèn)題 生命周期 面向連接 是什么樣子 安全建設(shè)