專家呼吁：API遭攻擊事件增多 安全能力亟待提升

“隨著云計算、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)的蓬勃發(fā)展，越來越多的應用開發(fā)深度依賴于應用程序編程接口(以下簡稱API)之間的相互調用，API安全受到廣泛重視。與此同時，API也正成為攻擊者重點光顧的目標，國際國內API遭受攻擊的事件屢見不鮮，眾多企業(yè)面臨新的安全挑戰(zhàn)。因此，不斷優(yōu)化升級安全技術，幫助企業(yè)探索適應新需求的安全體系具有重要意義?！?4月15日，在由數(shù)世咨詢舉辦的“2022 API安全之道 創(chuàng)新沙龍?北京”上，數(shù)世咨詢創(chuàng)始人李少鵬說。

星闌科技CTO徐越表示，在萬物互聯(lián)、各行業(yè)數(shù)字化轉型的時代背景下，大量企業(yè)能力以SaaS化的API服務方式與第三方廠商集成，如金融OpenBanking、數(shù)字政務平臺、大規(guī)模分布式互聯(lián)網(wǎng)應用、智慧城市、物聯(lián)網(wǎng)等場景。企業(yè)數(shù)據(jù)通過API進行傳輸，API數(shù)量不斷增長，導致API安全問題成為焦點。

一方面，隨著API逐漸成為承載數(shù)據(jù)流動的“主干道”，其弱點也逐漸被網(wǎng)絡攻擊者關注。另一方面，隨著《數(shù)據(jù)安全法》《個人隱私保護法》的正式實施，企業(yè)數(shù)字化轉型過程同樣面對數(shù)據(jù)傳輸安全監(jiān)管要求。企業(yè)應對API安全風險可以從API生命周期入手，在API的設計-研發(fā)-測試-運行-下線不同階段植入安全保護能力，同時技術側的解決方案應兼顧業(yè)務需求與云化的IT基礎設施。

奇安信資深安全專家、銳安全主理人張曉兵在《從框架看世界-看清安全過去 窺測安全未來》講到，世界是什么樣子，取決于我們看待這個世界的框架是什么樣子。他從技術、合規(guī)、架構等不同角度講述了在不同框架下的安全是怎樣的。

“當我們將安全看作一個接口，那就是API安全，大家對API安全的理解雖然有相似，有交叉，但一定是不同的?！睆垥员f，比如信通院《API數(shù)據(jù)安全研究報告》認為API安全是數(shù)據(jù)安全的一部分，它承擔不同復雜系統(tǒng)環(huán)境、組織機構之間的數(shù)據(jù)交互、傳輸?shù)闹厝巍Ｔ谄姘残拧禔PI安全能力建設桔皮書》中認為，API是一種云原生技術、資源集中連接的利器、數(shù)字化轉型的核心能力。

而他認為，API是一種全新的安全邏輯，安全行業(yè)邏輯經(jīng)歷了四個階段，從最初的面向單一的安全問題、到面向環(huán)境和IT架構解決綜合威脅，再到與業(yè)務緊耦合解決業(yè)務風險，最終再發(fā)展為面向連接，即基于抽象架構來使用松耦合和可擴展的方式來解決更多綜合性威脅;API就是屬于面向連接中的一種。

圓桌討論環(huán)節(jié)，李少鵬、張曉兵與星闌科技CEO王郁圍繞“如何確保API安全”話題展開討論。從“什么是API安全、API安全到底有多重要、目前國內存在哪些行業(yè)場景、對API安全的需求最為迫切、企業(yè)API安全建設當從何處入手”等多個問題進行了深刻的討論和交流。

談到API安全，王郁表示，目前API承載著越來越復雜的應用程序邏輯和越來越多的敏感數(shù)據(jù)，API基礎之上也誕生了非常多的新興通信場景。作為一把雙刃劍，API在為企業(yè)提供便利的同時，也成為攻擊者關注的重點目標。星闌科技通過API資產(chǎn)智能識別、API威脅及行為監(jiān)測、API數(shù)據(jù)流動監(jiān)測等維度為數(shù)字金融、開放銀行、云計算等應用場景提供API安全防護能力，并提供開放靈活的場景配置能力，致力于幫助企業(yè)建立API全生命周期防護。

張曉兵提到，API可以解決高價值和高交互的問題，在新技術驅動下，該市場會有更廣闊的前景。另外，他還表示優(yōu)秀的API安全產(chǎn)品需要關注前期的動態(tài)資產(chǎn)梳理，實時幫助客戶理清API資產(chǎn)才能做到更全面地防護，減少因資產(chǎn)不明確帶來的一系列安全問題，從而才能開展后期的API全生命周期安全建設。

關鍵詞： 安全問題 生命周期 面向連接 是什么樣子 安全建設