API安全发展白皮书.docxVIP

目 录 一、 API 安全概述 1 （一）API 已成为数字化转型的重要抓手，安全监管日趋严格 1 （二）API 屡受攻击，安全治理存在众多难点 3 二、 API 爆发式增长催生新的安全挑战 5 （一）API 攻击趋势：新型攻击手段频现且难以防范 5 攻击手段多样化 5 攻击途径隐蔽化 7 攻击场景自动化 8 （二）API 安全挑战：API 安全已成为网络安全的最大威胁之一 9 API 资产缺乏可见性，或将带来无法量化的风险 9 API 攻击面不断变化，企业难以管理和把控 11 现有防护体系难以对 API 风险进行有效识别 12 API 安全治理成企业数据安全合规的必要举措 14 企业跨部门协同存难题，API 安全全生命周期治理难实现 15 三、 API 安全防护体系建设思路 16 （一）总述 16 （二）基于 API 生命周期构建安全防护模型 16 规划阶段：引入威胁建模理论 17 开发阶段：加强安全开发建设，引入安全工具 19 测试阶段：使用 AST 类工具进行自动化漏洞测试，提高覆盖率 21 部署阶段：确保 API 的部署和配置的安全性 22 运维阶段：利用工具及时感知 API 攻击威胁 23 下线阶段：及时下线僵尸影子 API 25 （三）API 安全闭环管理要求和建议 26 Identify：构建可持续的识别能力 27 Protect：构建实时的防护能力 29 Detect：构建全面的检测能力 30 Respond：构建高效的响应能力 32 Recover：构建闭环式的修复能力 33 四、 API 安全未来发展趋势展望 34 附录 1 2022 年全球 API 攻击重要事件 36 附录 2 API 安全最佳实践 39 （一）金融行业 39 （二）互联网行业 40 （三）传统数字化 41 图 1 API 生命周期安全管理模型 17 图 2 API 安全闭环管理 26 图 3 某互联网企业业务请求量 31 表 1 API 安全检查表及最佳实践 19 表 2 API 安全编码和开发规范 20 一、 API 安全概述 （一）API 已成为数字化转型的重要抓手，安全监管日趋严格 API 指应用程序接口（Application Programming Interface）。中华人民共和国国家标准《信息安全技术术语》（GB/T25069-2022）将其定义为“一组预先定义好的功能，开发者可通过该功能（或功能的组合）便捷地访问相关服务，而无需关注服务的设计与实现”。应用程序接口作为促进数据流通的重要技术，不仅可以帮助企业建立与客户沟通的渠道，还承担着不同复杂系统环境、组织机构之间的数据交互、传输的任务。API 安全指对应用程序接口的完整性进行有效的防护。API 安全通常包括接口的信息安全、数据安全以及应用安全。 API 成为企业数字化转型的重要抓手。自新冠疫情以来，各企业及机构纷纷加快数字化转型的步伐。国家互联网信息办公室发布的 《数字中国发展报告（2022 年）》显示，2022 年我国数字经济规模达 50.2 万亿元，数字经济成为稳增长促转型的重要引擎。随着企业将越来越多的数据和应用迁移至云端，API 也正成为企业成功数字化转型的战略重点之一。IDC 报告显示，到 2021 年，超过 50%的全球2000 强企业，将用 API 开放生态系统完成其平均 1/3 的数字化服务交互。开发、管理和保护 API 安全，将成为数字化时代下企业及机构需要重点考量的关键因素。 云计算引爆API 安全危机。随着云计算、大数据、人工智能的蓬 勃发展，越来越多的应用开发深度依赖于 API 之间的相互调用。与此同时，随着全球云上业务快速发展，API 作为系统间的通信桥梁，也正成为攻击者重点光顾的目标，其安全漏洞随着调用量增多而暴露无 遗。Gartner 在《如何建立有效的 API 安全策略》报告中预测，API 滥用将成为导致企业 Web 应用程序数据泄露的最常见攻击媒介，到2024 年，API 滥用和相关数据泄露将几乎翻倍。通过攻击 API 来破 坏信息系统和窃取数据，已成为数字时代黑产活动最集中的方向之一。 我国 API 相关监管逐渐清晰化，但针对不同领域的 API 安全攻防体系难以进行规模化落地。2021 年 9 月 1 日，《中华人民共和国数据安全法》正式实施，为开展数据安全监管和保护工作提供了法律依据，对数据的有效监管实现了有法可依，并完善了网络空间安全治理的法律体系。API 作为数据传输间的桥梁，应遵守相关法律进行安全监管。2020 年 2 月 13 日，中国人民银行发布《商业银行应用程