2023年API安全技术发展的6个“大事件”

API技术逐渐成了现代数字业务环境的基础组成，也是企业数字化转型发展战略实现的核心要素，几乎所有的企业都依赖API进行服务连接、数据传输和系统控制。然而，API的爆炸式应用也为攻击者提供了更多的方法，而现有的安全工具却难以检测和减轻特定于API的威胁，使组织容易受到妥协、滥用和欺诈的影响。

据网络安全厂商Traceable AI最新发布的报告数据显示，在过去两年中，由API引发的网络攻击面正在持续增加，60%的受访企业发生过与API相关的安全事件，其中74%的组织存在三次或以上的安全事件。同时，能够有效识别API活动及用户行为的企业不足四成，有57%的受访企业表示传统的安全解决方案难以识别API活动和API欺诈事件。更糟糕的是，61%的受访组织预计未来两年API相关风险将继续攀升，但只有33%的受访组织对有效管理API威胁有信心。

由于API在设计架构上的特殊性，它们无法通过传统的应用安全工具进行有效的保护，而是需要企业安全团队的更全面关注，并从更广泛的角度解决API应用安全缺口。以下是今年以来6个值得关注的API计划、项目和事件，旨在帮助组织改进和优化API应用的安全性。

1、Open Gateway API计划推出

今年2月，全球移动行业协会GSMA推出了GSMA开放网关（GSMA Open Gateway）计划，这是一项面向全行业的API安全性保护倡议，旨在帮助应用系统的开发者和云服务商通过开放网络API框架，加强与移动运营商的合作，从而更安全地提供对全球运营商网络的访问服务。研究人员表示，该计划或将成为云基础设施服务与运营商物理网络之间的通用安全“粘合剂”。

据GSMA相关负责人介绍，Open Gatewa API计划已经得到全球超过20家的移动网络运营商的支持，包括America Movil、AT&T、Axiata、Bharti Airtel、德国电信、KT、法国电信、威瑞森和沃达丰等，以及我国的电信运营商中国移动。

2、零信任API安全参考架构发布

今年6月，创新安全公司Traceable AI发布了零信任API安全参考架构，这是一个将API安全性集成到零信任安全架构的实践指南。据Traceable AI表示，该架构与NIST零信任架构保持一致，确保了兼容性、互操作性和法规遵从性，帮助企业组织以可靠的方式实现零信任架构下的API应用安全性。该架构主要概述了如下内容：

• 确定了API级别的零信任关键原则和定义；
• 明确零信任在API级别方面需要考虑的因素；
• 组织在零信任部署中实现API安全性的策略。

3、《API安全最佳实践白皮书》编写完成

今年6月，F5公司完成编写并发布了《API安全最佳实践：API防护的关键考虑因素》（API Security Best Practices: Key Considerations for API Protection）白皮书，概述了现代企业组织面临的各种API安全挑战和风险，以及安全和风险团队可用于加强组织API安全的策略。

白皮书研究发现，API促进了去中心化和分布式架构，为第三方能力集成提供了更多的机会，也从根本上改变了安全和风险团队的运作方式。为了应对API安全，新一代防护方案需要包括持续监控和保护API端点，以及对不断变化的应用程序生命周期做出反应。

4、《Web应用安全性指南》联合发布

今年7月，澳大利亚网络安全中心（ACSC）、美国网络安全和基础设施安全局（CISA） 以及美国国家安全局（NSA）联合发布《Web应用安全性指南》，警告Web应用程序的供应商、开发人员和用户组织，应该高度关注和避免不安全的直接对象引用（IDOR）漏洞。

IDOR漏洞是一种访问控制漏洞，允许恶意行为者通过向网站或Web API发出指定其他有效用户的用户标识符的请求，来修改或删除数据或访问敏感数据。IDOR攻击是最常见且危害性巨大的API攻击形式之一，已导致数百万用户和消费者的个人信息泄露。为此，报告编写人员强烈鼓励供应商、设计人员、开发人员和最终用户组织尽快实施以下安全建议：

• 实施设计安全和默认原则，并确保软件对每个访问敏感数据的请求执行身份验证和授权检查；
• 使用自动化工具进行代码审查来识别和修复IDOR漏洞；
• 使用间接引用映射，确保ID、名称和密钥不会在URL中公开，并将它们替换为加密强度高的随机值；
• 引用第三方库或框架时要进行安全性尽职调查，并使所有第三方框架和依赖项保持最新；
• 选择Web应用程序时要进行安全性尽职调查，遵循供应链风险管理的最佳实践；
• 尽快为存在安全隐患的Web应用打上补丁；
• 定期进行主动漏洞扫描和渗透测试，以帮助确保面向互联网的Web应用程序和网络边界的安全。

5、OWASP更新API安全风险列表

今年7月，OWASP发布了本年度API安全性Top10榜单，详细介绍了企业面临的十大API安全风险。这是自2019年发布以来首次更新特定于API的风险指南，旨在教育那些参与API开发和维护的人员（例如开发人员、设计人员、架构师、管理人员或组织）规避常见的API安全风险。最新的API安全风险列表如下：

1. 对象级授权失败（BOLA）；
2. 破损的身份验证；
3. 对象属性级别授权失败；
4. 无限制地资源消耗；
5. 功能级别授权失败；
6. 无限制访问敏感业务流；
7. 服务器端请求伪造（SSRF）；
8. 安全配置错误；
9. 库存管理不当；
10. 不安全的API使用。

6、加强API安全生态系统合作的STEP计划推出

今年8月，安全公司Salt Security启动了Salt技术生态系统合作伙伴（Salt Technical Ecosystem Partner，STEP）计划，旨在整合整个API生态系统的解决方案，并使组织能够强化自身的API安全态势。该计划旨在帮助企业开展基于风险的API应用安全测试方法，将扫描工作集中在高优先级的API应用上。

StackHawk首席执行官Joni Klippert表示：“为了提供强大的AppSec程序，开发人员需要使用更先进的技术，在将代码部署到生产环境之前，简化查找和修复漏洞的过程。鉴于API开发的爆炸式增长，团队需要优先考虑并自动化API的安全测试，并以与开发人员工作流程无缝集成的方式进行测试。”