2024年API安全解决方案买家指南.pptxVIP

Akamai

API安全解决方案

买家指南;

亲身体会。API暴露在外或错误配置的情况很普遍，这些API没

有得到妥善保护，很容易受到攻击。甚至于很多企业往往都没有摸清他们的所有API，导致这些API处于不受管理的境地。这些休眠（或者僵尸）API成为了主要的攻击媒介。

随之而来的风险很高。对API的攻击会损害企业的收入、恢复能

力以及法规合规性。很多企业尚未采取适当的控制措施和功能来防范API攻击。诚然，很多公司现有的堆栈中会有一些API工具，包括API网关和Web应用程序防火墙。尽管这些工具具备一定的防护能力，但它们并非设计用来提供充分的监测功能、实时

安全性和持续测试功能，无法抵御现代化API攻击。

|2|Akamai;

那么，如何才能全面保护您的API资产？虽然过去几年中涌

现出了很多API安全产品，但随着供应商的范围及其功能不断扩展，想要充分了解这些信息变得比较困难。

应对如今的威胁需要全面的API安全解决方案，涵盖四个关

键领域：API发现、态势管理、威胁检测和修复以及安全测试。本买家指南介绍了全面API安全解决方案所应具备的关键功能，如何针对开发和维护安全的API定义所需的功能及安全控制措施，以及如何找到并保护您生态系统中的每个API。;

要确定所需的API安全功能，您必须要了解面对的安全挑战的

性质。

API通常散布多个环境中，囊括了从本地到混合云的各种环境。

而且您的API生态系统很可能远远超出了您自己的网络和云环境范围，这进一步加剧了复杂性。想象一下您的API已与属于第三方的应用程序、服务及系统建立无数连接，而这些第三方是否

重视API安全性无从确定。

此外，以下信息也难于实时了解：

?您的API被路由到何处

?它们的配置方式

?它们传输了哪些敏感数据

?它们带来了哪些风险;

API发现

企业存在未被发现的API这种情况很常见。但是，如果没

有准确的API清单，企业将面临各种风险。要有效地清点API，您需要能够：;

API态势管理

简单的API配置错误就会为攻击者敞开???门。一旦攻

击者入侵成功，他们就能快速访问并泄露敏感数据。要了解您所有API的配置方式，您需要能够：;

API威胁检测和修复

API攻击已经到了无法避免的地步。要想有效地

检测和修复威胁，您需要能够：;

在API进入生产环境之前发现漏洞，从而降低攻击得逞的风险;

API发现：

深入了解

关键功能

很多企业同时在运行遗留API和新API。在生产环境中，

存在运营团队或安全团队都不知道的不受管API很常

见，但这会让企业面临一系列网络安全风险和运营难题。

有多重因素可能会导致产生恶意API，例如走捷径、

进程故障和停用后未关闭等。在下一页中，我们将提供需要注意的关键示例。;

商业API

一些商业软件包会包含用于连接其他应用程序及外部数据源的

API。这些API可能会在无人注意的情况下被激活。

停用失败

一些API也可能已正式停用，但由于操作疏忽而仍在运行。

这些API有时被称为僵尸API。

旧API版本

有时，某个API的旧版本从未被停用。在软件更新期间，旧版本

可能不得不与新版本共存一段时间。但如果负责停用API的人员从公司离职、被重新分配了工作或者干脆忘记了停用旧版本，

会出现什么情况？;

API资产发现和详细清单

API发现工具必须能够找到并识别您拥有的API，

而无论配置或类型如何，如RESTful、GraphQL、SOAP、XML-RPC、JSON-RPC和gRPC等等。

它还应该创建一个会自动更新以避免过时的清单，并提供根据任何属性搜索、标记、过滤、分配和导出API的功能。;

自动扫描

扫描是消除盲点并识别以下关键问

题所必不可少的：

?泄露的API密钥和凭据

?API代码和架构暴露

?基础架构配置错误

?文档、GitHub存储库、Postman工作区等中的漏洞

确定这些和其他可利用漏洞来源的

情报，同样有助于团队了解可能会被

网络犯罪分子利用的潜在攻击路径。;

API态势管理：

深入了解关键功能

由于各种趋势，例如从集中式IT转变为分散式LOB运营、云资

源的使用增加以及向基于微服务架构的过渡，API资产所面临的威胁正在迅速增加。

强大的发现功能（如上一节中所述）是保护您的API资产的第