API安全--保护企业流动的数字资产-Akamai.pdfVIP

API安全

保护企业流动的数字资产Akamai-高级架构师秦淼

API为业务提供动力

不断扩大的攻击面

GenAI，应用程

序构建块APIs

内部数据交换B2B数据交换

针对API的攻击无处不在

↓27%拥有完整的API库存或知道哪些API“当前数据表明，常规API

返回敏感数据

漏洞导致的数据泄露至少是

常规安全漏洞的10倍。”

解决API事件/从中恢复的平均成本

$½MGartner®MarketGuideforAPIProtection,May2024

↑84%在过去12个月内经历过API安全事

件

Source:AkamaiStateoftheInternetReport2024

API攻击不是“如果”，而是“何时”

在过去12个月中，70起重大数据泄露事件中有24起源于API漏洞，影响了15个不同的行业。

Broadproductcapabilities:Flexibledeployment,integrations,runtimeprotection,

APItesting,etc.

OWASPAPISecurityTop10

/www-project-api-security/

●10API安全风险

●与OWASPWeb应用安全Top10不同

“在设计和开发API时，像黑客一样思考。”

典型的API网络威胁

身份验证和

认证绕过

越权（BOLA）业务逻辑滥用

DDoS

侦查和发现端口枚举

注入和利用

中间人攻击数据泄露

为什么现有方案解决不了API的风险问题

AkamaiAPI

2023OWASPAPITop10WAFGateway

Security

API1对象级授权失效Minimal

API2用户身份认证失效Minimal

API3对象属性级授权失效