隨著微服務(wù)架構(gòu)的普及、開(kāi)發(fā)向低代碼/無(wú)代碼轉(zhuǎn)變，API（應(yīng)用程序編程接口）的應(yīng)用持續(xù)擴(kuò)大。據(jù)統(tǒng)計(jì)，API請(qǐng)求已占所有應(yīng)用請(qǐng)求的83%，預(yù)計(jì)2024年API請(qǐng)求命中數(shù)將達(dá)到42萬(wàn)億次，API已經(jīng)成為數(shù)字世界的基礎(chǔ)設(shè)施。與此同時(shí)，API攻擊呈現(xiàn)爆發(fā)態(tài)勢(shì)。2021年API攻擊流量增長(zhǎng)了681%，而整體API流量增長(zhǎng)了321%。既要API的開(kāi)放，又要API的安全，成為了企業(yè)開(kāi)展數(shù)字化業(yè)務(wù)的“兩難困境”。

　　為了保障API安全，企業(yè)紛紛將建設(shè)API安全防護(hù)體系提上日程。但是，API的特性給企業(yè)帶來(lái)了一些列的挑戰(zhàn)。首先，API類型多、數(shù)量多。有研究顯示，每家企業(yè)平均管理超過(guò)350種不同類型的API，單個(gè)復(fù)雜業(yè)務(wù)應(yīng)用的API數(shù)量可達(dá)10W級(jí)。隨著企業(yè)業(yè)務(wù)數(shù)字化水平的持續(xù)提升，API的類型和數(shù)量化還在快速增長(zhǎng)中。其次，API安全漏洞多、訪問(wèn)流量大。不同類型的API存在不同的安全漏洞。由于API資產(chǎn)規(guī)模龐大、類型繁雜，企業(yè)往往難以及時(shí)修補(bǔ)這些漏洞，也難以及時(shí)相關(guān)的攻擊行為。最后，API傳輸?shù)拿舾袛?shù)據(jù)多，威脅感知難。API中傳輸著大量敏感數(shù)據(jù)，企業(yè)難以感知哪些敏感數(shù)據(jù)被訪問(wèn)，出現(xiàn)訪問(wèn)異常后也難以實(shí)時(shí)阻斷，并對(duì)威脅進(jìn)行分析溯源。

　　API安全監(jiān)測(cè)平臺(tái) 助力企業(yè)破解API安全難題

　　面對(duì)這些API安全風(fēng)險(xiǎn)，建設(shè)API安全監(jiān)測(cè)平臺(tái)，借助平臺(tái)統(tǒng)一管理API安全資產(chǎn)、監(jiān)測(cè)API攻擊、保障數(shù)據(jù)安全成為了企業(yè)的必然選擇。API安全監(jiān)測(cè)平臺(tái)作為企業(yè)管理API資產(chǎn)、保障API安全的重要工具，通常采用旁路部署，使用探針監(jiān)測(cè)、分析網(wǎng)絡(luò)和業(yè)務(wù)應(yīng)用的API鏡像流量。平臺(tái)通常具備API資產(chǎn)發(fā)現(xiàn)、API資產(chǎn)畫(huà)像、API脆弱性發(fā)現(xiàn)與修補(bǔ)、API攻擊監(jiān)測(cè)、數(shù)據(jù)安全分析等功能，幫助企業(yè)建立API安監(jiān)測(cè)體系，保證自身的網(wǎng)絡(luò)安全與業(yè)務(wù)安全。

　　API安全監(jiān)測(cè)平臺(tái)的核心功能主要包括API資產(chǎn)發(fā)現(xiàn)、API脆弱性分析、API攻擊監(jiān)測(cè)、數(shù)據(jù)安全分析。其中，API資產(chǎn)發(fā)現(xiàn)是API安全監(jiān)測(cè)平臺(tái)的基礎(chǔ)功能。API安全監(jiān)測(cè)平臺(tái)基于流量基線和數(shù)據(jù)模型，自動(dòng)發(fā)現(xiàn)API資產(chǎn)，對(duì)API進(jìn)行梳理、分析和分類，建立API資產(chǎn)畫(huà)像，以可視化方式展現(xiàn)API信息。針對(duì)API脆弱性問(wèn)題，平臺(tái)能夠自動(dòng)分析和發(fā)現(xiàn)系統(tǒng)中API的脆弱性問(wèn)題，對(duì)API存在的越權(quán)、注入、失速和敏感數(shù)據(jù)暴露等漏洞進(jìn)行檢測(cè)，并提供對(duì)應(yīng)的修補(bǔ)方案。針對(duì)API攻擊，平臺(tái)能夠?qū)崟r(shí)監(jiān)控API訪問(wèn)情況，分析流量數(shù)據(jù)，識(shí)別風(fēng)險(xiǎn)行為，發(fā)出攻擊報(bào)警。平臺(tái)提供對(duì)API攻擊的分析、溯源功能，幫助企業(yè)實(shí)現(xiàn)對(duì)API風(fēng)險(xiǎn)行為的全生命周期管理。針對(duì)企業(yè)的數(shù)據(jù)安全需求，A平臺(tái)能夠依照數(shù)據(jù)識(shí)別規(guī)則，檢測(cè)API接口中雙向傳輸?shù)拿舾袛?shù)據(jù)。針對(duì)命中風(fēng)險(xiǎn)事件的IP、賬號(hào)，平臺(tái)能夠聯(lián)動(dòng)其它安全產(chǎn)品，進(jìn)行主路實(shí)時(shí)阻斷。同時(shí)，平臺(tái)支持對(duì)敏感事件的訪問(wèn)取證，安全人員可對(duì)敏感數(shù)據(jù)進(jìn)行追蹤溯源。

　　多場(chǎng)景落地 提升企業(yè)數(shù)據(jù)安全水平

　　API安全監(jiān)測(cè)平臺(tái)偏重于API安全的監(jiān)測(cè)，多與偏重于策略與響應(yīng)的API安全網(wǎng)關(guān)配合使用，在Web應(yīng)用安全、企業(yè)內(nèi)網(wǎng)安全、數(shù)據(jù)安全等場(chǎng)景下，保障企業(yè)數(shù)字化業(yè)務(wù)的安全。

　　當(dāng)前，企業(yè)的Web應(yīng)用通過(guò)API向合作方提供數(shù)據(jù)、服務(wù)。API安全監(jiān)測(cè)平臺(tái)能夠?qū)eb API進(jìn)行脆弱性分析，檢測(cè)API安全漏洞，并給出修補(bǔ)方案；能夠?qū)崟r(shí)監(jiān)控Web API的訪問(wèn)情況，分析流量數(shù)據(jù)，基于API威脅模型識(shí)別風(fēng)險(xiǎn)行為并發(fā)出報(bào)警。

　　在企業(yè)內(nèi)網(wǎng)安全場(chǎng)景下，針對(duì)企業(yè)內(nèi)網(wǎng)中業(yè)務(wù)應(yīng)用與業(yè)務(wù)應(yīng)用之間的API，以及應(yīng)用內(nèi)部功能模塊之間的API，API安全監(jiān)測(cè)平臺(tái)能夠自動(dòng)發(fā)現(xiàn)API資產(chǎn)，對(duì)API資產(chǎn)進(jìn)行梳理、分類和聚合，完成API資產(chǎn)畫(huà)像，幫助企業(yè)實(shí)現(xiàn)對(duì)API的全生命周期管理。API安全監(jiān)測(cè)平臺(tái)還能夠完成API脆弱性分析、監(jiān)測(cè)API攻擊、識(shí)別敏感數(shù)據(jù)，幫助及時(shí)發(fā)現(xiàn)和處理潛在的API安全問(wèn)題

　　針對(duì)企業(yè)的數(shù)據(jù)安全需求，API安全監(jiān)測(cè)平臺(tái)應(yīng)能自動(dòng)識(shí)別API接口中雙向傳輸?shù)拿舾袛?shù)據(jù)。針對(duì)命中風(fēng)險(xiǎn)事件的IP、賬號(hào)，平臺(tái)能夠發(fā)出警報(bào)并聯(lián)動(dòng)其它安全產(chǎn)品，進(jìn)行主路實(shí)時(shí)阻斷，保障企業(yè)數(shù)據(jù)安全。API安全監(jiān)測(cè)平臺(tái)支持對(duì)敏感事件的訪問(wèn)取證，安全人員可對(duì)敏感數(shù)據(jù)進(jìn)行追蹤溯源。

　　目前，API安全監(jiān)測(cè)平臺(tái)已經(jīng)在金融、互聯(lián)網(wǎng)、運(yùn)營(yíng)商都行業(yè)落地應(yīng)用，取得了良好的實(shí)踐效果。某股份制商業(yè)銀行采用芯盾時(shí)代API安全監(jiān)測(cè)平臺(tái)管理企業(yè)的API資產(chǎn)，對(duì)原有API資產(chǎn)進(jìn)行了全面的梳理，以功能、應(yīng)用等多種維度聚合同類API，形成分類明確、路徑清晰的API資產(chǎn)樹(shù)，構(gòu)建API資產(chǎn)畫(huà)像，建立“全局可視、單點(diǎn)清晰”的API資產(chǎn)管理體系。借助API安全監(jiān)測(cè)平臺(tái)，該銀行對(duì)所有API進(jìn)行了脆弱性分析，修補(bǔ)了大量的API安全漏洞，有效提升了API安全水平。