应用程序接口 (API) 防护技术发展研究及对策建议

摘自：《网络安全技术和产业动态》2022年第6期，总第24期。

应用程序接口（Application Programming Interface，API）是一些预先被定义的接口或协议，用来实现和其他软件组件的交互。API在应用架构上实现了软件的模块化，具备可重用、可扩展能力，已经成为应用系统中广泛使用的核心支撑技术之一。APP、小程序、智能家电、政务平台、数据交换等都在大量使用API相关技术。

近年来，基于动态防护、恶意Bots识别、行为分析、机器学习等融合性的API防护技术体系逐步兴起。API可公开获取、标准化、高效且易于使用的特性，为开发者带来诸多好处的同时，极大地增加了应用系统新的风险，相应防护能力要求也在提升。

01 技术发展情况

在数字时代下，无论是互联网商业创新还是传统企业数字化转型，都推动了API技术的发展，API从只用于企业内部服务调用，到面向外部服务调用，再到如今的对外公开调用，API已经逐步从限制性的局部接口，转向更大和更广的领域。其连接的已不仅仅是系统和数据，还有企业内部职能部门、客户和合作伙伴，甚至整个商业生态。

随着API形态的发展，其面临的威胁发生了转变，相应的防护技术也在发展。

早期API防护以API网关为主，该技术主要是通过身份验证、访问控制、速率限制等手段提供防护能力。此类技术非常成熟，无论是开源系统还是商用系统都已广泛使用。但API网关是以鉴权为核心，缺少攻击检测和防护能力，对API的安全威胁防护远远不够。

之后出现了基于WAF的解决方案，以解决API在面临新型专属攻击的同时所面临的传统Web攻击。该方案主要是通过特征匹配、策略规则等方式，对API请求中的SQL注入、命令注入、CC等攻击进行检测，同时增加了API调用参数检查、合规检查等安全功能。

但随着针对API特性的攻击越来越多，单纯依靠API网关和WAF技术并不能全面有效的识别API安全风险，新兴的API融合防护技术开始发展。依托机器学习、行为分析、特征识别等技术，实现API接口的自动发现、风险识别、传统攻击检测、敏感数据管控等功能，提供覆盖API全维度的安全防护。

02 发展难点分析

API自身特点决定了它面临着许多特别的安全威胁，除了传统的Web攻击外，还面临着凭证失陷、越权访问、过度数据暴露等威胁。同时，针对这些威胁检测要涉及到API接口发现、参数检测、行为识别、访问控制等多个环节，任何环节的缺失或不足都会影响到整体防护效果，其发展难点表现在：

1．多渠道多边界难以全面防护

访问入口的多样化，带来了服务部署边界的多样化，如：Web、APP、小程序、第三方平台等业务接入渠道。多样化接入导致了脆弱点的暴露面扩大，增加了风险管控复杂性。在同一防护体系内融合多业务接入渠道的防护是API防护的难点之一。

2．接口分散和数据多样性导致接口难以发现

全面准确的API接口发现是API防护工作的基础，对API接口进行自动识别、分类尤为重要。与传统Web应用可以依赖自身结构上的统一入口不同，API自身多以独立个体的方式存在，采用点对点的访问模式，难以通过接口之间的联系进行API发现。同时，传输数据格式的多样性（JSON、XML、GraphQL等）也增加了API的识别难度。

3．业务紧耦合防护策略难以通用

API和业务系统是紧耦合的，针对API的防护策略往往也和业务相关，这就造成API防护策略在跨业务的情况下难以通用，而微服务架构和DevOps模式下应用快速迭代变化的特性也放大了这一难点，解决这一问题是API防护产品快速部署推广的一个难点。

4．合法授权下的滥用风险难以识别

目前API在授权之后的访问控制相对薄弱，海外安全机构Salt Security发布《State of API Security》中显示，95%的API攻击发生在身份验证之后。API防护需要重点关注这些合法授权下的攻击、滥用及数据过度暴露等风险，如何在已经取得合法授权的请求中识别出异常访问，是API防护需要解决的一个难题。

03 产业落地情况

目前针对API防护技术主要分成了三个方向：API网关、WAF和API融合防护，国内外的安全厂商在这些方向上都有所涉及，相关产业落地情况如下：

1．API网关

经过多年的发展，API网关技术已经非常成熟，参与其中的厂商或组织也很多，例如开源类的API网关包括：Kong、APISIX、Tyk、Zuul等。商业级的API网关形态更为丰富，包括本地部署、云端部署、SaaS模式等。参与厂商包括阿里、华为、腾讯、青云、派拉软件等。

2．WAF

基于WAF的API防护技术，主要是一些传统的安全厂商在研发，利用已经具备了多年的WAF产品研发经验，可快速扩展部分API防护的能力，例如敏感数据识别、参数合规检测等。国外以Akamai、F5等厂商为代表，国内部分WAF安全厂商如绿盟也延展到对API的防护。

3．API融合防护

该技术是近年来兴起的解决方案，融合了动态防护、机器学习、行为分析、特征识别等技术，以解决API面临的新型威胁。国外以Salt Security、Noname Security等厂商为代表，国内安全厂商，如瑞数信息、星澜科技等也在发力API融合防护技术和方案。

04 意见和建议

针对当前企业普遍缺乏对API安全重要性和特殊性的认知，缺少对此类安全建设的投入，API安全防护手段参差不齐，API系统性安全建设严重滞后，安全厂商对全面有效的API防护技术还处于不断探索阶段的状况，我们提出建议如下：

1．引导和鼓励企业、安全厂商在深化数字化业务的同时，加快针对API安全新技术新方法的研究与实践，推动API安全的体系化发展。

2．宣传表彰API安全防护典型用户，推广API安全防护应用优秀案例，带动更多企业重视完善API安全建设，提升API安全防护能力。

3．积极开展API安全防护标准研究制定，推动引导API防护技术发展。

中国网络安全产业联盟（CCIA）主办，瑞数信息技术（上海）有限公司供稿。

文章来源：CCIA网安产业联盟