API，中文名稱叫應(yīng)用程序編程接口，是現(xiàn)代移動(dòng)、SaaS 和 Web應(yīng)用程序的一個(gè)關(guān)鍵組成部分。聽(tīng)起來(lái)很晦澀難懂，但其實(shí)我們每個(gè)人的生活都會(huì)接觸 API：早上出門(mén)，打開(kāi)手機(jī)看看天氣，天氣APP需要通過(guò) API 提取數(shù)據(jù)；到了公司，被安排出差，趕緊上網(wǎng)查票，購(gòu)票網(wǎng)站更新數(shù)據(jù)用的也是API；買(mǎi)好票后，打開(kāi)OA提交流程，OA應(yīng)用傳遞數(shù)據(jù)用的還是API……在數(shù)字經(jīng)濟(jì)時(shí)代，不論是內(nèi)部系統(tǒng)間的調(diào)用，還是各類數(shù)據(jù)匯集平臺(tái)，都大量使用了API。

　　為什么API總被攻擊者盯上？概括來(lái)說(shuō)，有三個(gè)原因：一、目標(biāo)好找：API的職責(zé)就是應(yīng)用之間的調(diào)用，天然就是公開(kāi)且暴露的；二、攻擊潛在收益高：API攜帶大量重要數(shù)據(jù)和認(rèn)證信息，一旦攻擊者成功突破 API，可直達(dá)核心系統(tǒng)。三、攻擊防范較困難：大量的API權(quán)限控制不夠精細(xì)，很容易被攻擊者找到漏洞，從而輕易繞過(guò)邊界防護(hù)。

　　由于API通常對(duì)應(yīng)著大量高價(jià)值數(shù)據(jù)，也被各種自動(dòng)化的爬蟲(chóng)工具高度關(guān)注，平臺(tái)運(yùn)營(yíng)者飽受薅羊毛、數(shù)據(jù)竊取的干擾，而API的使用也常受到流量占用等威脅的影響，無(wú)法正常工作。

　　在攻防對(duì)抗愈演愈烈的今天，怎樣讓API的安全保護(hù)更加精準(zhǔn)、有效？傳統(tǒng)的API安全防護(hù)依賴API網(wǎng)關(guān)與WAF、IPS類防護(hù)產(chǎn)品的配合，方案整合復(fù)雜并且針對(duì)性不足，在實(shí)戰(zhàn)當(dāng)中很容易漏防或誤報(bào)，近年來(lái)逐漸被專用的API檢測(cè)和攻擊防護(hù)系統(tǒng)所替代。

　　作為專用的API檢測(cè)和攻擊防護(hù)方案，盛邦安全API資產(chǎn)識(shí)別及主動(dòng)防護(hù)方案為解決API安全防護(hù)問(wèn)題提供了新的思路：

　　API資產(chǎn)的暴露面很廣，但運(yùn)營(yíng)者往往不清楚自己有多少API，也不確定哪些是廢棄的、測(cè)試的或是有漏洞的，單純通過(guò)人工梳理或網(wǎng)關(guān)搜集很難理清，并且無(wú)法掌握狀態(tài)變化。

　　盛邦安全API資產(chǎn)識(shí)別及主動(dòng)防護(hù)方案采用主被動(dòng)結(jié)合的學(xué)習(xí)方式，可以全面識(shí)別API資產(chǎn)，一方面通過(guò)流量學(xué)習(xí)來(lái)梳理活躍的API數(shù)據(jù)；另一方面通過(guò)主動(dòng)畫(huà)像的方式來(lái)發(fā)現(xiàn)暴露的API資產(chǎn)，同時(shí)記錄API的狀態(tài)變化并結(jié)合用途屬性進(jìn)行分級(jí)分類，區(qū)分在用API、廢棄API、測(cè)試API、帶病API和未知API，最終形成動(dòng)態(tài)更新的API資產(chǎn)清單。

　　針對(duì)API的攻擊不同于傳統(tǒng)攻擊類型，并且API漏洞隱藏較深，通用的檢測(cè)方法難以形成有效防護(hù)。盛邦安全API資產(chǎn)識(shí)別及主動(dòng)防護(hù)方案利用機(jī)器學(xué)習(xí)算法，構(gòu)建了一套API攻擊訓(xùn)練模型，通過(guò)持續(xù)積累和更新攻擊邏輯來(lái)訓(xùn)練檢測(cè)引擎，形成對(duì)未知威脅的識(shí)別能力，有效防范0day漏洞的威脅。

　　相比其他類型的資產(chǎn)而言，API資產(chǎn)訪問(wèn)規(guī)則較為標(biāo)準(zhǔn)，因此更容易遭受BOT攻擊，除了加強(qiáng)對(duì)API使用權(quán)限的鑒別和管控之外，盛邦安全API資產(chǎn)識(shí)別及主動(dòng)防護(hù)方案還利用人機(jī)識(shí)別的方法來(lái)發(fā)現(xiàn)各種自動(dòng)化腳本、爬蟲(chóng)工具和BOT工具，可以更準(zhǔn)確地區(qū)分正常調(diào)用與非法爬取行為，從而抵御BOT攻擊的干擾，提升業(yè)務(wù)安全的保護(hù)能力。

　　除了部署專用的API檢測(cè)和攻擊防護(hù)方案之外，企業(yè)還需要強(qiáng)化API的數(shù)據(jù)保護(hù)，并進(jìn)行流量限制，這對(duì)于防范數(shù)據(jù)外泄、避免 API 濫用行為有著重要意義。

　　盛邦安全將基于在安全技術(shù)方面的長(zhǎng)期積累與創(chuàng)新，幫助企業(yè)更好地保護(hù) API 的安全可靠，保證業(yè)務(wù)調(diào)用與協(xié)同的安全。