数世咨询《API安全研究报告2022》正式发布

关于API

API（Application Programming Interface）较为通俗的解释是应用程序编程接口，由一组用于集成应用软件和服务的工具、定义和协议组合而成。

因API技术属于云原生代表性技术，并且API的应用与推广很大程度上依托于云计算的发展，数世咨询《数字安全能力图谱2021》将API 安全归纳于信息计算环境-云安全-云原生安全分类下。因目前API安全属于创新型市场，暂未形成较大份额，故没有单独分类。

图 1 数字安全能力图谱2021

数世咨询认为，API作为一种软件接口，主要用来实现应用程序之间的链接。在数字时代，由于敏捷性需求和微服务架构的发展，API具有的传输数据和提供能力两大功能，将是创新技术框架和商业模式的一大重要支撑。

发起背景

数字化的趋势是无法阻挡的，在数字时代，企业价值塑造需要由链条式转变为平台式。加之新冠疫情的影响，供应链的安全性和协作有效性、远程办公的紧迫性，也促使生态企业之间的整合逐渐加快了脚步。

为了应对数字时代的挑战，越来越多的企业已经在利用API的技术和经济模式来保证竞争力的延续。API不仅仅适用于云计算、物联网和大数据分析等数字化场景，它还可以帮助企业发掘并维系客户、构筑全新的业务生态。

然而，随着API巨大价值的体现，API攻击也呈现出指数级的增长趋势。据Gartner预测，“到2022年，API将成为网络攻击者利用最频繁的载体，而通过攻击API可以非授权使用企业的应用数据”。Gartner报告《Advance Your Platform-as-a-Service Security（25 August 2021）》已经明确地将API安全确立为保障PaaS安全的一个重要类别，该报告专注于指导企业如何提高PaaS的安全性，包括一个安全参考架构，显示了保护这些平台所需的内容，将API安全范畴独立于WAF和API网关，使其拥有了自己的功能分类。

虽然我们已经发现并且感知到，安全风险是阻碍企业数字化转型的最大障碍之一，但不得不重视的是，传统的安全技术被证明并不能有效地阻止API攻击，企业需要在现有防护基础之上的全新方法。

数世咨询认为，数字时代的API安全产品应该以API安全生命周期为线索，在解决协议覆盖、资产梳理以及攻击检测的基础上，通过深度学习的能力，精准描绘出业务逻辑和数据流向。通过对业务流量和数据的学习，整合安全资源，达到攻击预防、攻击阻断以及敏感数据泄漏防护的目的，最终实现API运行时防护的安全状态。

研究目的

本报告的核心，在于向用户展示一种适应于国内信息系统和商业市场环境，在现阶段可实际应用到生产环节和业务流程中的API安全参考框架。

通过调研和分析现阶段，我国API应用过程中的安全状况，结合国际方面对于API安全的研究，分析API在现代业务流程的塑造以及商业模式的变革中所发挥的巨大作用，分析API在数字时代可能面临的种种安全风险，结合已经被广泛应用的实践和理论，为用户展示API安全风险管控的理念。

数世咨询的核心理念为，数字时代、安全共生。希望通过本报告，能够切实解决用户在企业发展过程中出现的关于API安全的问题，实现数世咨询的第三方参考价值，帮助企业用户在数字浪潮之中屹立潮头。