API安全正逐步迈入主流视野

无数物联网设备正不断从云端“母舰”处检查丰富数据，而其中使用的强大API接口也迅速成为恶意黑客眼中的攻击目标。于是，API安全再次站在了时代舞台的最中央。

谷歌API安全计划Apigee的出现，令API的整体安全水平迈上新的台阶。而且不仅仅是物联网，流畅丝滑的用户体验设计背后也同样要求机器间数据的无缝对接。只有这样才能以低摩擦方式交换大量数据，将远端分布式响应技术融入到前所未有的精彩体验中来。

但为了让这一切“正常起效”，我们也要考虑到强大接口所引发的恶意攻击可能性。如果不加控制，创纪录的传输能力只会把敏感数据以创纪录的速度传递给恶意黑客。

为此，我们在今年的RSA大会上发表了一篇文章，讨论初创企业正以怎样的方式保障API安全、防止其在悄无声息之下沦为倾泄数据的致命软肋。除我们之外，知名安全媒体DarkReading也打算好好给API安全事件引发的业务损失算笔账。

如今，更多重量级巨头也在进军这一领域，打算将API安全保障塑造成“下一件大事”。谷歌为自家云平台打造的Apigee Advanced API Security，就是想帮助组织客户发现API配置错误并阻止恶意机器人。从之前的记录来看，API配置错误正是多数安全事故的罪魁祸首之一。

好在OWASP API Security Project等工具已经相继出炉，能帮助大家对自己的API或需要交互的API开展健康检查，并以结果作为安全衡量基准。这些工具还深入剖析了常见错误配置及处理方法，相当于给大家提供了良好的保护起点。

而就在企业重视API保护工作的同时，下阶段针对API的黑客攻击也必然迅速增加。而这一波的攻击重点，很可能就是在云和大数据体系中至关重要的工业接口。而一旦这里存在配置错误，将很快导致大量数据被传递至犯罪分子手中，最终引发严重危害。在这场关于安全的军备竞赛中，我们唯一能做的就是避免自己沦为那个受害者。