2022年中国网络安全行业《API安全产品及服务购买指南》发布

2022年9月8日作者：GoUpSec

前言

API安全是当下企业和互联网面临的最严峻的网络安全挑战之一，根据Gartner的研究，2022年，超过九成Web应用程序遭到的攻击来自API，而不是人类用户界面。

API安全问题正给企业带来巨大损失，除了数据泄露、品牌与合规风险外，API安全问题可导致新产品或服务的发布延期甚至取消，企业创新被遏制，数字化转型受挫；大规模数据泄露或业务中断甚至会对关键基础设施和数字经济造成严重威胁和损失。

API安全的难点或者说悖论在于，尽管大多数安全专业人士建议隐藏资源减少暴露面和攻击面，但业务上成功部署的API却倾向使资源更加开放和可用。API的安全困局实际上也是现代IT面临的一个共性问题。对于安全团队而言，这意味着选择合适API安全产品方案并制定平衡的、良好的API风险缓解策略尤为重要。

API安全已经失控

根据Akamai的一项统计，API请求已占所有应用请求的83%，预计2024年API请求命中数将达到42万亿次，但API安全威胁却比API调用增长更迅猛。安全问题在API项目关注的名单中名列前茅，很少有受访者认为他们有信心识别和阻止API攻击。API安全已经濒临失控，主要表现为以下几个方面：

API攻击暴增。过去的12个月中，API攻击增加了681%，而整体API流量也增加了321%。根据Gartner的数据，到2024年API攻击还将加速并翻一番。
Salt Security的调查显示，超过三分之二的企业缺少基本的API安全策略。
企业的API安全管理未能覆盖SDLC生命周期，往往只是作为马后炮和附属品。
安全团队普遍缺乏专业的API管理工具和安全防护。
随着新技术（例如REST/GraphQL）的普及和新业务的发展，API数量不断增长，API管理正变得更加困难。

独特的安全挑战

API安全同时也是非常独特的挑战。首先，API是与企业业务关联最紧密，暴露和攻击风险最高，防护难度最大的技术组件之一。

其次，API带来了很多传统安全技术无法解决的挑战，例如API没有客户端组件，因此传统的防御技术（如Captchas或JavaScript）和移动SDK工具无法有效地防止自动攻击。

最后，随着企业数字化转型进入深水区，API数量不断增长，与此同时API每天都不断地被启动、更新或替换，这些都给API安全运营管理带来极大挑战。无数API安全事件表明，企业仅仅依赖互联网边界安全工具（例如WAF）和云负载保护平台已经无法有效应对API威胁的快速增长。

正因为其紧迫性、独特性和重要性，API安全正在被作为一个独立的安全项目和技术领域被企业和网络安全业界广泛重视，Gartner（WAAP）和OWASP都为API安全创建了单独的分类和威胁列表。

虽然目前市场上已经有大量网络安全厂商能够提供API安全相关产品方案，但对于企业用户来说，了解并选择适合自身需求的API安全产品方案本身依然颇具挑战性。

API安全解决方案的选型

随着对API安全问题逐步重视、国家已经陆续出台多部数据接口有关的标准规范，对数据接口在不同领域的应用、部署、管理、防护进行了规范，API安全技术也得到大力发展，当前常见的技术从功能上看包含了API发现、API身份与访问控制、API消息安全、API传输安全、威胁缓解、API威胁检测、API安全审计、API监测与跟踪、API管理等几个方面。

从企业和供应商角度来看，API安全解决方案应遵循持续“发现、库存、合规、检测、防护、响应、测试”的安全生命周期模型进行开发和部署：

发现：持续自动化的API发现，识别影子API、无记录API和过期API；识别API配置错误及敏感数据泄露；API漏洞发现，开源组件漏洞发现等。
管理：统一管理API库存资产。
合规：确保遵循相关政策法规与风险治理策略和最佳安全实践
检测：攻击者识别与关联；不依赖威胁情报等静态元数据；行为检测与异常检测；数据泄露检测。
防护：身份与访问控制；攻击防护（例如OWASP API TOP10）；应用层DDoS（限速限流）；凭证填充与暴力攻击；恶意请求，例如API流量分析与业务逻辑攻击。
响应：与SIEM和SOAR集成；攻击与泄密的溯源和追责。
测试：新API上线前检测、审计，从源头减少配置错误和安全漏洞。

在市场细分方面，API安全产品和解决方案主要分为CDN（不提供端到端安全性）和纯API安全两大类，本指南收录的API安全方案大多属于纯API安全管控平台。

目前市场上的纯API安全产品和方案的常见功能和卖点如下：

可视化的统一管理与监控
业务零摩擦
发现内部、外部、僵尸、未知和影子API
监控攻击者侦察活动
阻止单个API攻击
阻止有针对性的API攻击
防范业务逻辑攻击
修补开发过程中的API漏洞
左移保护：在开发期间扫描和测试API安全性（应用程序开发）
运行时保护
防止数据泄露
识别错误配置的API
识别API中的漏洞并进行修复
基于机器学习的威胁防护
大数据和机器学习驱动的数据分析与优化

API安全产品方案的重点选型基准如下：

1. 基于云原生架构（例如存储和分析），并面向微服务、容器技术等现代异构环境的API安全需求。

2. API资产发现与管理。支持多种终端、架构、环境和协议的全域多维API资产发现能力，杜绝带病API（例如缺乏安全配置或配置错误的API）、影子API、过期API和意外暴露API（例如预生产API）。

3. 与访问控制和运营系统的集成性。API安全最大的威胁之一就是用户身份滥用导致的攻击。因此API解决方案与IAM集成、零信任集成的能力非常重要，IAM和微分段可以极大提高资产库存准确性，避免系统性的网络瘫痪。API安全架构还应支持与其他网络组件，例如API管理平台、负载均衡、API网关、WAF等集成，以及与SIEM和SOAR等安全运营平台流程与组件的集成，提供端到端的安全防护，提高生产力降低运营成本。

4. 左移覆盖。API安全在开发生命周期“左移”，覆盖从API设计到发布和运维的SDLC全生命周期。

5. 基于行为检测的API监控。日志记录和监控可以发现API错误和恶意API活动。应使用与标准安全工具兼容的日志格式，并且API日志数据应作为敏感数据传输和存储。

6. 基于人工智能和机器学习的数据分析，持续提升检测和响应能力。

为了帮助甲方做好API安全产品和服务的购买选型，推动甲方与安全厂商的互动交流，GoUpSec特发起了《API安全产品及服务购买决策参考》报告调研，从各厂商API安全产品及服务、产品功能、应用行业、成功案例、安全策略等维度出发，深入了解和调研，最终整理撰写了《API安全产品及服务购买决策参考》。

本次报告共收录17家网络安全厂商，所涉及API安全产品及服务成功实施案例45例，分别来自政府、通信、公安、金融、银行、证券、汽车、医疗、保险、物流、安全、电商、商旅、航空等重点行业。