API作為應用與數據服務的通信接口，應用場景廣泛。有人說，未來的社會是API的社會。現代API往往隱藏在網絡應用之中，在日常生活中接觸最為廣泛和熟知的身份認證、電子支付、定位、語音轉換等等基礎數字服務，都是以API的形式來顯現的。API不僅服務于個人，也為許多企業的數字化轉型提供了強大動力。

根據postman監測的數據顯示，API已經在全球范圍內被充分接受，并且呈現出持續增長的趨勢。2021年，通過postman平臺的API通信遍布全球234個不同國家，較同期增長56%，API已經幾乎在全世界被開發和調用。

根據GoogleCloud調查的結果顯示，其API平臺Apigee的用戶API流量在2019年至2020年期間同比增長46%，已經達到2.21萬億次調用。這一增長反映了各行業數字化轉型接受度的增長，越來越多的行業開展了數字化優先的業務戰略。

隨著API的廣泛應用及爆炸式增長，API已然成為攻擊者竊取數據的重點攻擊對象。研究部門Salt Labs發布的《2022年第一季度API安全狀況報告》顯示，過去12個月，惡意API流量增加了681%，95%的組織都經歷了API安全事件。

2021年12月  國內某證券公司的客戶信息數據，包括用戶姓名、手機號、開戶時間、交易情況等敏感數據，以每日1萬多條的量級在數據交易平臺被售賣。經驗證分析，證實為內部系統數據API管控疏忽導致。

2021年6月  黑客通過領英的API漏洞，獲取到領英7億多用戶的個人數據，并在暗網銷售。

2021年4月  臉書的某在線業務API遭誤用，導致5億用戶數據被泄露，并在暗網公開售賣。

API安全問題分析

• API資產不清，不易管理

API資產增長迅速，API接口無法掃描和探測、資產識別有難度、權限不清晰，大量API接口沒有梳理，安全責任無法劃分落實。

• 敏感數據資產不清，疏于防護

不了解API接口傳輸數據哪些是敏感數據，對敏感數據沒有有效防護。

• API安全檢測能力缺失

不能及時檢測對API發生的惡意攻擊、高位風險操作、安全漏洞等，比如異常訪問風險無法識別、API接口未做鑒權、API傳輸內容無法檢測。

• API安全防護無有效方案

對API異常訪問行為無法監控，API傳輸的敏感數據訪問行為無法管控，對越權訪問、權限濫用等問題也無有效防護方案。

以上API安全問題，怎樣解決？

API安全審計，可旁路部署在企業業務系統之中，對企業業務系統API進行梳理、風險識別、安全防護、形成接口畫像等核心功能，實現對API資產的掌握，敏感數據的防泄漏，保護API安全運行。

昂楷API審計核心功能

• API資產梳理

自定義添加或自動發現API資產，建立API清單，與已知API清單進行比對，及時發現未知API和僵尸API，對API進行分類，設置責任人。

• 敏感數據管控

自定義敏感數據或自動發現API傳輸的敏感數據，對敏感數據訪問權限進行管控，對訪問的敏感數據進行脫敏。

• API安全檢測

及時識別API風險，如對API的異常訪問、API接口未鑒權、API接口漏洞、API接口高危操作、OWASP TOP10風險檢測等。

• API安全管控

對API安全檢測的風險及時預警，并阻斷風險操作，對敏感數據的訪問可進行敏感數據脫敏。

• API安全審計

對API所有訪問操作都做全面審計，并存儲審計記錄，可事后追溯追責。

• API接口畫像

統計訪問的API接口所屬業務系統、訪問源、日活躍數、風險數、請求返回數等，形成API接口畫像。

昂楷API審計應用價值

摸清API家底，掌握API資產現狀

API安全審計，可為企業系統梳理API資產，摸清API家底，掌握API資產現狀。

識別API傳輸敏感數據，防止敏感數據泄露

可識別API傳輸敏感數據，對訪問敏感數據的操作進行靈活處理，合法訪問者只做審計，無權訪問者進行脫敏處理，非法訪問者進行阻斷，防止敏感數據泄漏。

事前-事中-事后實現API持續的安全防護

• 事前對API接口訪問操作形成接口畫像，便于掌握企業系統API資產運行狀態；

• 事中可識別API風險并及時預警，對風險操作進行阻斷，保護API資產安全；

• 事后對API訪問操作進行審計，發生安全事件可事后追溯追責；最終實現API持續的安全防護狀態，為數字化轉型保駕護航。