Akamai：API攻击形势严峻，出海企业尤其要小心

遣诗怀

对于经常出差的人，一般都会办理某个航空公司或连锁酒店的积分卡，积累到一定程度可以兑换免费机票或酒店等福利。但是，当某人同时操作同一种积分卡的多个账户时，可能正在进行被称为“账户接管”的API攻击。
API，作为连接客户端与服务端，或者不同应用之间的桥梁，在企业中扮演着举足轻重的角色。它们不仅用于企业内部应用之间的通信，实现不同系统间的数据交换与功能协同；还广泛应用于面向客户端的应用中，如移动应用间的交互、手机与应用程序之间的通信等，每一个操作背后都可能有API的默默支持。此外，企业也常常需要调用第三方API，以获取外部资源或服务，如天气预报、支付接口等。
API攻击趋势深度剖析

然而，随着API在企业中的广泛应用，其面临的安全威胁也日益凸显。根据Akamai在今年3月发布的报告《潜伏在阴影之中：攻击趋势揭示了API威胁》发现，API在Web攻击中所占的比例逐年上升，2023年已接近30%。这一数字的背后，是API作为数据交换的枢纽，其安全性直接关系到企业信息的完整性和保密性。随着越来越多的业务流量通过API进行传输，这一攻击比例有可能继续攀升。

从地域分布来看，欧洲地区的API攻击比例尤为突出，这可能与该地区对API的规范化并鼓励API的使用相关。此外，Akamai还观察到，虽然亚洲和北美地区的API流量也相当可观，但攻击类型和目标却呈现出不同的特点，这可能与各地的业务特点和安全环境有关。

在行业分布方面，商务行业尤其是电商领域成为API攻击的重灾区。这是因为电商业务涉及大量的在线交易和数据交换，API的使用频率和复杂度都相对较高。同时，商业服务行业如功能型网站和物流公司等也面临着较高的API攻击风险。这些行业中的API不仅用于内部系统间的通信，还常常需要与外部合作伙伴进行数据交换，因此其安全性尤为重要。

至于攻击手段，Akamai发现针对HTTP协议的漏洞和利用活动会话是最常见的攻击方式。此外，数据挖掘和本地文件包含等方法也占有一定的比例。这些攻击手段的不断翻新和变化，给企业的API安全防护带来了极大的挑战。
构建API防护体系的核心要素
API在企业中的应用广泛而深入，但随之而来的安全威胁也不容忽视。为了保障企业的信息安全和业务连续性，企业需要不断加强API安全防护措施，提高安全情报部门的应对能力，以应对日益复杂多变的网络攻击环境。

Akamai北亚区技术总监 刘烨
在构建API防护体系时，企业应该如何有效地进行API防护？应该关注哪些核心要素？Akamai北亚区技术总监刘烨认为，应该从以下三个方面来思考。
首先，可视性是关键。企业的API是否具备足够的透明度？在各种API调用类型中，有些接口可能因开发者的便利需求而被创建，用于在开发、测试和部署过程中轻松获取数据。然而，当这些开发者离开团队或公司后，这些接口是否仍在使用？它们是否经过了完整的安全审计和合规性检查？在将API推向公网时，企业是否能够清晰地掌握这些API的可见性？企业是否了解所有API的存在、它们的端点以及各自的功能？确保API的可视性是构建防护体系的首要步骤。
其次，漏洞管理是不可或缺的一环。在识别潜在风险点时，需要综合考虑哪些因素可能导致已知的漏洞。这直接关系到企业部署的应用中潜在风险的数量。尽管遵循最佳实践进行开发可以降低漏洞的风险，但人类编写的代码始终存在潜在的安全隐患。即使是知名应用或软件开发商的产品，短期内可能没有漏洞，但长期运行后也可能暴露出安全问题。因此，在开发过程中遵循最佳实践，并确保发现针对漏洞的攻击时，能够行之有效防御至关重要。
最后，业务逻辑保护同样重要。企业是否建立了业务逻辑的基线？考虑到攻击手段的多样性，很多攻击并非直接针对应用本身，而是针对业务逻辑。这种攻击方式可能直接获取到更有价值的信息，并绕过传统的安全防御手段。因此，在构建API防护体系时，务必重视业务逻辑的安全性。
海外扩张中的中国企业：API安全合规策略
随着全球化不断深入发展，以及复杂的地缘政治影响，目前中国企业走出去面临的国际商业经营环境日趋复杂，而且各国监管部门的合规监管执法力度不断加大，合规风险成为公司经营的重要风险。
随着企业出海越来越多的应用基于互联网，数据合规性风险已经成为了企业发展中需要格外注意的风控内容。对于计划或正在海外扩张中的中国企业来说，在API安全合规方面，刘烨认为需要特别注意以下几个问题：
首先，理解并遵循目标市场的法规是至关重要的。不同的国家和地区在数据保护、隐私安全等方面都有各自的规定。例如，欧洲有GDPR（通用数据保护条例），而亚洲的一些国家如马来西亚、新加坡和泰国也有相应的个人隐私保护法规。这些法规对数据的收集、存储、使用等方面都有明确的规定，因此企业在设计应用和业务逻辑时，必须确保遵守这些规定。
其次，企业在海外扩张时，应更多地依赖已达到合规标准的第三方平台。这些平台通常已经过严格的合规性审查，并能提供稳定、安全的服务。相比之下，企业自行开发的安全模型或产品，可能未必经过验证，尤其是在数据收集和分析方面。因此，企业应充分利用这些第三方平台，以提高自身的合规性水平。
此外，企业在API安全合规方面还需要关注因安全原因引起的个人隐私泄露问题。在这方面，企业应采取有效的安全防护措施，针对业务逻辑的防护，内容的访问控制等，以防止数据泄露事件的发生。同时，企业还应建立完善的应急响应机制，以便在发生数据泄露事件时能够迅速响应并采取相应的补救措施。
最后，沟通与合作也是确保API安全合规的重要因素。企业内部应建立有效的沟通机制，确保负责合规的人员、应用开发团队以及管理层之间能够顺畅地交流和协作。此外，企业还应积极与目标市场的监管机构、行业协会等合作，了解最新的合规要求和行业动态，以便及时调整自身的业务策略和技术方案。
Akamai重塑API安全

为了应对日益严重的API安全威胁，Akamai推出了一系列安全产品。其中，通过收购Neosec公司并将其产品升级为API Security解决方案，Akamai为用户提供了强大的API安全保障。该解决方案旨在帮助用户实现以下目标：
·影子API发现：Akamai能够全面识别并列出所有可调用的API接口，确保用户对API的可见性。
·易受攻击API识别：当API存在漏洞或风险点时，Akamai的解决方案能够迅速识别并发出警示，促使用户及时采取行动。
·API滥用检测与预防：通过监控API的基线行为，Akamai能够发现未经授权的访问、异常调用等滥用行为，并及时通知用户进行干预。

据刘烨介绍，在构建这套API安全解决方案时，Akamai采用了创新的旁路架构。用户只需将API数据镜像到Akamai的数据湖中，Akamai的系统即可进行深度行为分析。这不仅使Akamai能够观察到API的请求量、变化趋势等关键信息，还能精准识别潜在的安全风险。
此外，Akamai还提供了ShadowHunt服务，通过主动发现风险点和潜在攻击者，为用户提供更加全面、深入的安全防护。API Security产品专注于行为分析，旨在防范业务逻辑漏洞，使Akamai的安全建议和防护体系更加完善。

“我们的API安全解决方案通过提供多层次的防护手段，帮助用户全面应对API可能带来的各种风险和问题，确保业务的安全稳定运行。无论是保护员工、基础架构、应用和API我们都能够为用户提供专业的安全服务和解决方案。” 刘烨表示。

来源：
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！