API 持续增长，攻击亦步亦趋

填补传统安全留下的漏洞

现代 API：易于使用，但难以保证安全

API ，即“应用程序编程接口” ，是许多现代 Web 应用程序的基本组成部分。更准确地说，它们将服务器、端点和软件连接起来，使得有可能在短短几毫秒内执行任意数量的功能，从将移动数据同步到云端，到实现无代码应用程序开发。

与任何连接到互联网的资产一样，API 的使用越广泛，它对攻击者的吸引力就越大。而且，API 攻击似乎达到了历史最高水平；最近的一项调查显示，53% 的受访者曾经历 API 令牌泄露导致的数据泄露。

这种广泛程度突显了传统安全实践和解决方案中的关键漏洞。随着企业向更现代的安全部署方向发展，他们在保护 API 时必须解决三个关键挑战：

1. 难以跨多云环境保护 API 服务。

2. API 开发和安全性没有同步前进。

3. 传统安全服务在设计时没有考虑 API 保护。

为了弥补这些差距，现代 API 安全解决方案必须提供可扩展的自动化 API 威胁防御，让安全团队和工程团队提前防范零日漏洞利用和定制攻击。这正是 Web 应用程序和 API 保护 (WAAP) 的用武之地：WAAP 是一个专门的安全服务平台，旨在管理和保护 API，防范各种复杂的新兴威胁。

API 攻击造成的损失

就像 API 本身一样，API 攻击的规模和复杂性也在迅速增加——而补救它们的代价也在增加。

在美国证券交易委员会(SEC)的一份报告中，T-Mobile 披露了一次暴露 API 造成的重大数据泄露。在两个月多的时间里，攻击者获得了 3700 万客户账户的个人数据，包括账单信息、电子邮件地址和电话号码。

另一次更大规模的泄露中，推特(Twitter)成为了目标，原因是一个未修补的 API 漏洞允许用户访问关联的电子邮件地址和电话号码。这个漏洞直至 7 个月后才得到修补；到那时，攻击者已经公开了 2.35 亿用户的帐户信息。

即使是服务用户规模小于以上大型企业的组织而言，API 漏洞也能为毁灭性的攻击打开大门。敏感用户数据的泄露有可能不可挽回地损害品牌声誉和客户信任，导致内部横向流动，或造成严重的财务损失和持久的法律影响。

这究竟给组织造成了多大损失？据估计，API 不安全(API 错误或漏洞攻击造成的破坏)造成的损失每年约 410亿-750 亿美元。

保护 API 的三个挑战

在保护 API 免受攻击的竞赛中，组织面临三个主要挑战：

1. API 服务难以保护跨混合云和多云环境。一般大型组织都有数百个已知的 API，往往分布于多云或混合云环境中。这种脱节的部署方式导致保护和监督 API 的流程急剧复杂化，同时也会消耗扩展规模所需的宝贵内部资源。根据一份报告，78% 的受访者表示，他们在网络中管理着超过 250 个不同的 API 令牌、密钥和证书，而且随着 API 使用的增加，跨多个环境维护手动安全流程的负担可能会导致无意的疏忽。

2. API 开发和安全没有同步前进。工程师和开发人员不断地创建和发布 API，但通常不会与安全部门沟通以保护它们。随着 API 开发快速增长，在发布之前检测和修补每个漏洞几乎是不可能的，迫使安全团队在后面追赶。

3. 传统安全服务在设计时没有考虑 API 保护。API 攻击（从数据泄露到授权和身份验证漏洞利用）通常依赖于对特定 API 功能和潜在漏洞的深入上下文理解。尽管现有工具集（包括 Web 应用防火墙、机器人管理、DDoS 缓解等）已继续扩展其功能，保护 API 免受常见攻击，但它们并不是针对 API 威胁的特殊性而设计，也没有提供大规模记录、分析和保护 API 所需的精细化控制。

利用 WAAP 解决这些挑战

攻击者根据特定的 API 漏洞定制其策略，因而组织也需要定制威胁防御；包括对 API 行为和风险的深刻理解，同时使工程和安全团队能够简化操作。

现代 API 安全解决方案越来越多地归属基于云的安全平台旗下，Gartner 称之为“Web 应用程序和 API 保护(WAAP)”。常见的 WAAP 解决方案包括以下核心特性：

• 下一代 Web 应用程序防火墙(NGFW)过滤不需要的流量，防止零日漏洞，并执行网络安全策略。

• 分布式拒绝服务 (DDoS) 防护：缓解大容量和持久攻击

• 机器人管理用指纹、启发式算法和机器学习相结合的方式阻止恶意机器人行为。

• API 保护对 API 流量进行分析、分类和自定义控制，并提供强大的客户端保护，防止 JavaScript 漏洞利用。

WAAP 解决方案的主要优点之一是，它为组织提供了更大的 API 可见性和控制权。API 发现功能允许安全团队发现、编目和监视 API 端点，而 API 滥用检测使用高级异常检测来跟踪和分析恶意的流量模式，并拦截大规模攻击。

除了加强 API 对复杂和持久攻击的防御之外，WAAP 还有助于保护跨多云环境的 API。中央 API 目录有助于建立组织 API 的基线，安全团队可以据此应用统一的策略，而不会失去可见性。

WAAP 领域“领导者”

在 Gartner 最近的 WAAP 供应商评估中，Cloudflare 获评为 Web 应用程序和 API 安全领域的“领导者”。

Cloudflare 拥有分布在 330 个数据中心的全球网络，平均每秒处理超过 4500 万次 HTTP 请求，因而对网络模式、攻击手段和 API 流量有独一无二的洞察。这种可见性有助于扩展和加强一套集成安全服务，包括 API 发现功能、API 管理和分析，以及分层 API 防御，监控流量的异常行为并缓解大规模 DDoS 攻击、恶意机器人活动等。

Cloudflare 的 WAAP 组合减轻了安全团队手动配置和维护的负担。Cloudflare 安全中心为组织提供跟踪、调查和缓解 API 威胁的单一位置，而无需担忧额外部署或扩展问题。

Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章，本文为其一。

深入探讨这个话题

获取 Gartner® Web 应用程序和 API 保护 (WAAP) 魔力象限™ 报告，了解 Cloudflare 为什么获评为“领导者”。

关键要点

阅读本文后，您将能够了解：

• 为什么 API 依然是攻击者的头号目标。

• 为什么 53% 的组织经历了 API 令牌泄露导致的数据泄露

• API 安全的三个挑战

• WAAP 如何解决 API 安全问题

相关资源

• Gartner Web 应用程序和 API 保护 (WAAP) 魔力象限

• OWASP API 安全排行榜 10 强

• API Shield 资料单