首届API安全管理论坛成功举办，聚焦API安全共话最佳实践 - 网安

12月3日，首届API安全管理论坛在深圳成功举办众多安全领域技术专家以及企业信息安全决策与实践者齐聚一堂，围绕数字化时代下API面临的挑战及如何进行API安全管理进行了分享与探讨，论坛现场座无虚席，精彩观点不断。

（论坛现场座无虚席）

对API的保护本质上就是对数据安全的保护

API 在现代应用程序架构中发挥着非常重要的作用，当创新发展和安全意识发展的不同步发生时，带来的安全风险将加大，目前API面临的十大关键安全风险是哪些？在论坛伊始，OWASP中国广东区域负责人肖文棣以OWASP API Top 10作为基础，结合案例详细解读十大API安全风险。

他表示，无论线上购物还是进行银行交易都离不开对API的访问和控制，对API的保护实质上就是对数据安全的保护，这是企业必选题。OWASP API Top 10是通过可利用性、弱点普遍性、弱点可检测性、技术影响、业务影响等指标来进行风险评级评出，企业应当针对这些API关键风险进行逐一解决，特别是关注API业务逻辑缺陷和过度数据暴露，在现场，他为参会者分享了预防策略。

（OWASP中国广东区域负责人肖文棣）

API安全应该独立于Web安全之外

Web API本身是一个cgi，API安全一直以来都是Web安全中的一类，为什么最近几年偏偏把API安全单独拿出来讨论？API面临哪些安全挑战？该如何来做好防御？腾讯技术工程事业群安全专家胡珀就以《新的安全威胁：API安全的挑战及应对策略》为主题进行了分享。

他提出，目前企业都拥有大量的API，很多数据安全事件也因为API滥用所致，这是API单独拿出来讨论的直接原因。而API安全形势之所以严峻，主要源于四个原因：外部黑客紧盯、能力沉淀不足、支撑功能未跟上、自身安全机制考虑欠缺。这些除了自身安全意识的提高之外，也更需要针对性的管理工具来辅助。

（腾讯技术工程事业群安全专家胡珀）

API安全场景下数据安全的管理难点在哪？

在云原生背景下，微服务架构的API治理与数据安全的保障密切相关，将如何进行应用安全保障？乐信集团信息安全中心总监刘志诚以《API安全解决数据安全问题实践》为主题进行了分享。

他认为，数据安全疑点主要在三个方面：一是分级分类如何应用，二是数据脱敏的When和Where，三是API访问数据的Who和How。目前大量API的分级分类管理存在困难，因此涉敏数据的暴露不断发生。作为企业安全的设计者、建设者和管理者，解决数据安全问题的首要就是对API的清晰梳理，才能对涉敏数据的分级分类管理，解决数据安全问题。

（乐信集团信息安全中心总监刘志诚）

API因承载数据和业务逻辑，已成为了新的攻防面

API因承载数据和业务逻辑，成为了新的攻防面，并且攻击能够隐藏在符合逻辑的合法访问请求中，目前常用的安全工具能否解决这些API安全管理问题？更有效的技术路径又是哪些？永安在线COO邵付东以《API安全管理的更优解：以情报建立API安全基线》为主题对这些问题进行了分析和分享，并发布以永安在线核心技术优势——行业领先的【情报】打造的产品：API安全管控平台。

（永安在线COO 邵付东）

随着企业在整个研发过程中越来越强调敏捷开发和（CI/CD）集成部署，导致整个业务研发节奏加快，很多企业对API的管控处于失控状态，出现了接口未知、攻击未知、阻断未知的挑战。

邵付东表示，在面对业务快速发展，API快速更迭，攻击流量隐藏在正常的业务流量当中并且更多利用API业务逻辑漏洞进行攻击的现状，市面现有通过WAF和API网关来进行API安全管理的方式存在明显不足。例如不是所有的API流量都会经过WAF，尤其是东西向流量，并且它根据每条流量及时做出判断，无法解决API逻辑攻击；另外，不是所有的API都会到网关注册，业务会存在大量影子API，而且授权和限频等方法无法解决黑产利用海量小号、秒拨代理IP进行的低频攻击。从而导致大量的误判、漏判。接口未知、攻击未知、阻断未知的状态无法很好解决。

API安全管理的更优解：

永安在线API安全管控平台

对此，永安在线推出了新一代API安全管控平台，以情报建立API安全基线，通过旁路镜像的方式提供API资产梳理、敏感数据管理、API风险感知、API安全缺陷评估等多方面能力。帮助企业构建可预防、可解释、可溯源的API安全管理体系，让企业能够有效实现对API资产的全面盘点、防止敏感数据暴露、预防发现阻断API遭受攻击、提升风险事件的响应速度以及数据合规自查。

1、以精准情报建立API安全基线，提高攻防对抗主动权

通过精准情报为业务建立API安全基线。误判率低，可用性高，风险发现准确达95%，可及时全面感知企业外部API风险，尤其是隐匿在正常业务流量中的黑产攻击。

2、全面梳理API资产，快速定位攻击点和薄弱点

自动化实时发现企业内部、外部和第三方API，包括未知（影子）API和失活（僵尸）API，提供完整的实时更新的API清单。

3、敏感数据的流动管理，实现数据合规自查

依据《金融数据安全数据安全分级指南》将敏感数据类型分级管理，支持40多种敏感数据的查询，清晰掌握自身敏感数据的流动情况。

“我们的产品优势在于通过情报能力可以准确描绘出业务风险全景图，站在外部的视角从海量业务流量中过滤出可疑流量，避免了利用规则和频次无法识别的隐藏在合法业务请求中的风险；另一方面情报还能对识别出的风险能给出具体的攻击团伙以及攻击者的攻击方法，这样不仅保障了识别风险的准确度，也让风控变得具备可解释性，也为下一步的打击追责提供有利支撑”邵付东在介绍技术路径选择时表示。