Akamai最近发布的针对亚太地区的深度研究报告《2025年API安全影响研究》显示,尽管亚太地区 92% 的高管表示其组织在过去一年中曾遭遇API安全事件,但仅有 37% 的受访者确认他们清楚哪些API暴露了敏感数据。这一巨大认知差距暴露出当前企业在 API 安全管理中的盲区,也凸显出 API 资产可视化和风险识别能力的严重缺失。可以看出,在 API 使用日益频繁的背景下,安全威胁正迅速演变为制约企业数字化发展的关键风险。
API的网络安全困境
近年来,网络API 的深度应用给企业带来了很多严重的安全挑战,诸如恶意攻击、敏感被数据泄露、用户身份被盗等安全事件屡见不鲜,这给企业带来了巨大的经济损失和声誉上的损害。根据IBM《2024年数据泄露成本报告》,全球平均数据泄露成本已上升至488万美元,创下历史新高,是五年来的最高水平。
亚太地区面临的网络API安全问题具有全球代表性,导致的结果是制约了企业的数字化转型进程,也为数字经济的发展造成了巨大的风险隐患。也正因如此,API安全问题成为企业数字化转型路上必须要预约的一道鸿沟。
造成API安全问题的主要原因,是企业对某些网络API存在身份验证和授权机制的管理缺失。因此产生的漏洞很可能被攻击者所利用,从而假冒为合法身份的用户,进而访问到企业的敏感数据,甚至是能执行没有经过授权的操作。另外,也有些企业对部分API管理不完善,授予了他们过多的开放权限,让攻击者有机可乘获取到额外的权限,从而导致严重的安全事件发生和重大经济损失。
尤其是在集成了较多API的复杂的系统中,如果API的管理以及API之间的交互不够清晰完善,就可能会导致安全漏洞增多并且可以长期存在,同时还难以发现和及时修复。更为雪上加霜的是,随着业务的快速发展和业务系统的频繁变更,企业在开发新功能、系统的版本迭代过程中,可能会不断地引入新的API安全漏洞,这就让安全团队难以跟上如此快速的节奏,将不能及时发现并修复这些漏洞,也就无法做到全面的安全防护。
据Gartner预测,到2028年,超过50%的组织将把API管理作为其AI应用架构的核心组成部分。这一趋势表明,API已从“技术风险点”转变为企业智能化基础设施的重要基石。
据Gartner预测,到2028年,超过50%的组织将把API管理作为其AI应用架构的核心组成部分。这一趋势表明,API已从“技术风险点”转变为企业智能化基础设施的重要基石。
AI赋能,系统性防护新篇章
面对愈发严峻的API安全威胁,利用AI技术形成的系统性防护是目前较为流行的方式,来达成API的全生命周期防护。
API 资产可视化:运用AI技术自动抓取系统运行中所有的调用过的API,包括“影子 API”API,实时跟踪敏感数据流向,并为关键的数据传输端点加标签。随时可以生成对应的风险的热力图给到安全人员查看,哪里是高危风险一目了然。
分层协同防御:系统基础防护层增加新一代WAF,利用自适应安全引擎可准确拦截注入攻击、XSS等老款WAF防范的传统威胁;新一代WAF集成了API防护和Web应用防护,可快速发现异常参数组合或非常规访问行为,并及时发现数据爬取、权限滥用等高级威胁。
构建API安全防护堡垒
刘烨 Akamai北亚区技术总监
“API安全防护要想真正有效,必须系统构建四大能力模块。”Akamai北亚区技术总监刘烨指出,“包括API资产的可视化和分类管理、智能化威胁监测与响应机制、运行时动态防护体系,以及贯穿开发周期的安全测试流程。这是构建企业API安全体系的核心支柱,也是应对未来攻击趋势的关键所在。”
精准洞察,持续铸就:企业需要健全一套完整且持续的API发现流程及流程化自动对接,将不同来源和形态的API编织成一张完整的API图谱;需要把API进行有效的归类分级,做好API资产管理工作;要基于自动化的方式去对潜在风险较大的API进行搜索并进行清理,做精细的API资产管理。
高效预警,实时护航:企业要建立完整威胁检测、威胁响应体系,像守住城门一样时刻注意防止API的安全威胁入侵。建立风险监测仪表盘,全程跟踪API漏洞修补的进度。为此要配备最新的安全监测手段,实时监测API业务的每一跳如何运行,及时发现访问路径上有无非授权访问行为,并捕捉到潜在的异常攻击迹象。
全域守护,实时应对:企业应部署全方位的运行时保护方案,在运行环境中植入动态防御引擎,结合机器学习算法与安全规则库,精准识别并抵御各类攻击行为。唯有如此,才能应对层出不穷的新型攻击,让API在生命周期之内长存于安全“暖阳”之下。
测试先行,安全护航:企业要在API开发的过程当中做好安全测试,。在开发过程中嵌入OWASP API安全测试标准,进行全面的自动化测试。通过这种深度安全测试与验证机制,才能够最大程度地降低API在上线的时候出现的安全问题,使API更加具有安全性。
Akamai为API安全保驾护航
面对这么严峻的API安全威胁,Akamai为企业提供了一系列先进的API安全解决方案,旨在帮助企业增强API安全性,有效抵御API安全风险威胁。
APP & API Protector:Web应用防火墙,为企业建一座坚不可摧的WEB、API防护长城,里面融汇了2个AI驱动的自适应安全引擎及行为DDoS引擎,即可敏捷捕获各处不为人知的安全漏洞,打击各类安全风险;多引擎联合作战,精密配合,能提升检测效率、提高检测精准度。
API Security:是AI技术的智能化应用,可以实现自动扫描企业所有活跃的API接口,并为API的安全管理打下良好的基础;同时可以敏锐地发现是否存在敏感数据泄露的风险、严密地观察着API接口被非法访问的过程以及攻破攻击入口处存在哪些问题、准确无误地识别出是否存在影响企业业务发展及运作的安全风险点。值得一提的是,在2024年,Akamai收购了API安全行业的顶尖企业——Noname Security,并将他们的先进功能加入到了API Security中,使得Akamai API安全防护处于领先优势的地位。
Akamai北亚区技术总监刘烨表示“Akamai安全方法并不局限于传统策略,而是以系统性思维出发,形成了两大安全组件的协同防护体系。我们的APP & API Protector聚焦于防御常见应用层漏洞,而API Security则能深入识别业务逻辑层面的问题,甚至包括一些企业并未意识到的‘隐性API风险’,二者协同作用,帮助企业构建起一张立体、无缝的API安全防护网络。”
“以我们的客户敦煌网为例,他是一家知名的全球电子商务平台。在全球范围内的快速扩张过程中面临着API流量激增、敏感数据泄露以及恶意机器人攻击等挑战。通过部署Akamai的API Security,App & API Protector以及Bot Manager,敦煌网在整个API生命周期中实现了API可视化与高效保护,且无需对现存的应用架构进行重大修改。”
结语:
当下的API的普及,正是互联网+的必然要求。以前的传统防御手段无法阻挡API的安全威胁,必须依靠更加先进的手段去抵御API带来的安全威胁。唯有这样,才不会让数字经济陷入系统性风险中。
假如企业可以通过应用系统化的防护办法,实现常态化检测、威胁处理、运行时防护以及左移测试等等一系列策略的话,那就能使得企业的API的安全防护上升到一个新的高度。如果能把上述的方法和Akamai的技术结合起来,就能给企业提供更有效率的管理,并保证业务、业务连贯性、合规性等等,抓住这一波数字化的红利。
