重塑安全 Akamai支招企业如何应对API攻击

如今API作为连接服务和传输数据的重要通道，已成为数字时代的新型基础设施，但随之而来的安全问题也日益凸显。随着数字化技术的发展和Web API数量的爆发性增长，API面临的安全攻击风险比其他类型的攻击更加复杂和更难防护。

Akamai北亚区技术总监  刘烨

Akamai北亚区技术总监刘烨告诉记者，API在企业中有着广泛的应用，比如应用之间的通信、客户端API调用。Akamai 3月份发布的《潜伏在阴影之中：攻击趋势揭示了API威胁》报告显示，API在Web攻击里面所占的比例越来越高，2023年在所有Web攻击类型里面，针对API的攻击占了将近30%。

API攻击的新观察

在区域分布方面，欧洲的API攻击占比非常高，然后是北美、亚洲和拉丁美洲。而在行业方面，商务行业包括电商、金融行业、制造业等是API攻击的“重灾区”。刘烨解释说，因为这些行业与上下游伙伴的业务交互大多依靠API调用。

特别是金融行业，根据Akamai的互联网状况报告，从2022年第二季度到2023年第二季度，亚太地区和日本的金融服务行业的Web 应用程序和API 攻击增加了36%，攻击总数超过37亿次。

刘烨表示，金融行业之所以是API攻击的重点目标行业，是因为金融行业的数据非常重要，包括用户的资金账户信息，还有金融行业的API交互比较复杂，存在攻击漏洞。

此外，针对API，攻击者大多针对HTTP协议本身的漏洞产生攻击，还有Active Session、数据挖掘、本地文件包含的攻击手段。应该说，API的攻击方式是非常多样化的，企业的防护难度也在增加。

而且OWASP的API Top10安全隐患显示，API攻击大多与业务逻辑相关，攻击者通过找到API交互过程中的业务逻辑漏洞来发起攻击，造成的影响也是巨大的。

“这些攻击不是原来针对传统签名或特征识别就可以防护的攻击，更多的是要看业务逻辑、建立自己的基线和模型。”刘烨说，“做好API安全防护，需要从可视化、评估漏洞风险和业务逻辑三个方面着手。”

具体来说，API管理需要足够的可视化，实现审计和合规性要求；API的开发需要遵循安全实践，减少风险点。通过安全产品和更合理的开发，可以大大帮助解决安全隐患。

刘烨表示，许多API的问题可能源于在开发过程中留下的接口，这些接口可能仅供内部调用或用于部门间协作。然而，当这些接口暴露在公网上时，安全隐患便产生了。

安全问题逐渐从基础层面转向业务逻辑漏洞，针对业务逻辑的攻击，可以绕过现有的安全手段，直接获取更有价值的东西。企业需要特别关注与业务逻辑相关的API部分，建立在不同业务场景下产生的基线，然后确定哪些是异常情况，也就是找到API和业务逻辑的关联，哪些是违背了业务逻辑的访问。

Akamai重塑API安全

针对API攻击，Akamai提供了API Security产品，可以实现影子API、易受攻击的API、API滥用等管理，形成可观测的API基线。

刘烨表示，企业面对API攻击，应该进行如下工作：减少漏洞，进行API发现，然后进行风险审计、行为检测、响应、事后分析。

在减少漏洞方面，我们需要了解哪些用户访问了哪些内容、访问了哪些端点以及传输了什么内容。Akamai API Security产品利用大量离线分析和基于API访问日志的建模来建立基准。

Akamai微分段产品可以防止恶意攻击者在企业内部横向移动至核心系统。因此，结合API安全标准方法论和网络微分段技术，Akamai可以帮助用户减少漏洞并降低漏洞被利用后的损失。

Akamai把所有的API数据镜像到Data Lake，分析用户的API访问行为，并判断是否存在风险，并关联到API防护机制阻断这类型的攻击。

当用户违反了应用逻辑时，应能识别出该用户。一旦识别出问题，需要给出防护措施的指导，如限制或中断用户访问。事后分析有助于优化整体策略，应对可能的风险和恶意攻击，提高API安全防护水平，减少潜在漏洞对系统的渗透。

人工智能技术的流行也为API攻防带来新的影响。在攻击方面，人工智能可以帮助攻击者进行数据挖掘，构建自动化攻击，并根据防御策略调整自身策略，从而加快试错的速度。在防护方面，人工智能可以实现行为分析、异常检测、自适应策略等。

从安全防护方面，Akamai利用AI技术检测API漏洞和风险，实现行为分析、自动响应和策略部署等。刘烨认为，企业建立自己的安全防护模型需要投入巨大成本，而且企业的数据量通常不足，学习样本不足可能会影响模型的准确性。

“在建立安全模型基线方面，数据量很重要，这也是Akamai作为守方具有更多优势的原因，因为我们可以看到更多数据，更精准地建立模型。企业应该积极利用第三方资源，将AI应用于与业务相关的领域。”刘烨说，“尽管人工智能在许多方面为我们做出了贡献，但最终决策仍然可能需要专业人员的参与。因此，一个高效的安全团队仍然至关重要，他们可以利用安全技术，更好地识别问题，并制定策略和操作方法。”

面对API安全挑战，企业应该采取更加积极主动的防护措施，减少漏洞并实施行为分析、响应和事后分析。通过加强对API安全的关注和投入，企业可以更好地保护其API，守护核心数据资产。