2024年API发现的权威指南.docxVIP

API发现的

权威指南

目录

API发现的重要性3

为什么API如此难以发现？

5

什么是API发现？

7

利用关键API发现功能提高可见性和降低风险

8

AkamaiSecurity如何帮助您发现所有API11

API发现的重要性

无论您是刚开始关注API安全防护，还是希望进一步完善现有策略，发现并清点整个企业中的所有API都是必不可少的基本步骤。为什么？您的企业构建的每个应用程序，迁移到云端的每个工作负载，以及员工使用的每一种协作工具，都有API在后台负责交换数据，而且交换的往往是敏感数据。挑战在于，大多数企业尽管认识到拥有完整API清单的重要性，却无法真正地摸清其大部分的API。

而无法识别API，自然就无法确保其安全。

随着企业越来越以云为中心和不断提升数字化水平，其

API资产的范围、规模和复杂性也随之不断扩展。API

通常散布多个环境中，囊括了从本地到混合云的各种环

境。而且您的API生态系统很可能远远超出了您自己的网络和云环境范围，这进一步加剧了复杂性。想象一下，

您的API已与第三方和开发者生态系统的应用程序、服务及系统建立起千丝万缕的连接。

Akamai

随着您的API的范围、规模和复杂性不断增长，您将越来越难以获得有关以下方面的实时洞见：

?您的API分布在各个业务部门的什么位置，多数情况下，这些业务部门都有自己的开发团队

?您的API是如何配置的，它们的路由位置，以及是否具备适当的身份验证和授权控制

?当您的API被调用并返回敏感数据时，谁可以访问这些数据

更为棘手的是，企业日积月累的大部分API都处于不受管、未识别以及通常未得到有效保护的状态。这些API包括休眠API、影子API和僵尸API，在很多情况下，它们会避开像API网关和Web应用程序防火墙(WAF)等常用工具的防御。这些工具确实提供了一些好处和基本保护，但在当今的API安全威胁形势下，我们需要更高的

监测能力、实时保护和持续的测试，只有专业的API安全解决方案才能提供这些功能。

如果您能够发现所有的API，就能为下一步的重要工作奠定基础，例如评估每个API的风险、了解企业的API安全态势，并利用所获得的洞见采取实时保护措施，防止攻击发生。在本白皮书中，我们将分享：

?某些类型的API让安全团队难以捉摸的原因

?有关API发现功能的详细信息，这些功能可以帮助您提高监测能力和预防遭受攻击

Akamai

为什么API如此难以发现？

1.API走捷径和进程故障如果自行创建了API却没有告知合适人员，就会形成异常API。例如，某个业务线(LOB)

1.API走捷径和进程故障

如果自行创建了API却没有告知合适人员，就会形成异常API。例如，某个业务线(LOB)团队可能会创建用于满足特定需求的API而未告知IT部门，或者开发人员可能更关注执行而不是过程。因收购而“继承”的API也经常会被忽略。这些类型的恶意API往往被称为影子API。

普遍，这些API没有得到妥善保护，很容易受到恶意攻击。不仅如此，其他风险也异常之高。对API的攻击会损害企业的收入、恢复能力以及合规性。

以下是四种可能出现异常API的情况：

Akamai

2.旧API版本

在很多情况下，某个API的旧版本可能安全防护能力较差或者存在已知漏洞，但从未被删除。在软件更新期

间，旧版不得不与新版本共存一段时间。但负责停用API的人员从公司离职、被重新分配了工作或者干脆忘记了停用旧版本。一些API也可能已正式停用，但由于操作疏忽而仍在运行。这两种情况都会导致所谓的僵尸API。

3.继承的API

因合并或收购而继承的API也经常会被忽略而成为影子API。清单（若有）常常在系统集成的繁琐工作中丢失。由于小型企业的API环境通常杂乱无章且缺乏文档记录，因此频繁收购小型企业的大型企业尤其容易受到威胁。

4.商业API

一些商业软件包会包含用于连接其他应用程序及外部数据源的API。这