作為數字經濟和信息社會的核心資源，數據對國家治理、經濟運行機制、社會生活方式等產生著深刻影響。數據在流動、分享、加工和處理的過程中創造價值，但其前提是保障數據安全無虞。因為龐大的數據足以勾勒出數以億計的人物畫像，而支撐這些龐大數據高速傳輸的重要通道，便是API。因此，API接口安全將很大程度決定了互聯網數據的安全。

　　PART1 API資產不明引發安全困境

　　據《Salt Labs State of API Security Report, Q1 2022》報告，在受訪者最關心的API安全問題中，僵尸API以43%占比高居第一；遠超過以22%的占比位居第二的賬戶接管/濫用；還有83%的受訪者對組織API 資產清單是否完整沒有信心。

　　為何企業對僵尸API及API清單完整度有如此大的擔憂？安全隱患往往藏于“未知”，未知的僵尸API、未知的影子API、未知的敏感數據暴露等，根源都在于企業對API資產全貌的未知。安全的管理與防護始于“已知”和“可見”，人們難以掌控那些被遺忘的、看不見摸不著的資產安全狀況。然而正是這些被人遺忘、不可管控的API，因其往往潛藏著未被修復的漏洞，備受攻擊者青睞。

　　即便是企業已經開始重視并著手治理僵尸API問題，也仍有一處容易被忽略的巨大風險——僵尸參數。不同于那些被徹底遺忘的僵尸API，這些僵尸參數有可能還存在于當前仍在服務且持續維護的API接口中。常見的僵尸參數，例如在開發測試周期內設置的調試參數、系統屬性參數，它們在接口正式上線后未對外暴露給用戶，但仍能被暗處的攻擊者惡意調用。攻擊者基于僵尸參數，能夠利用批量分配等漏洞獲得越權的響應。一旦這些未知的API脆弱點被惡意利用，背后的核心業務數據、平臺用戶數據等海量敏感數據在黑客面前就宛如“裸奔”了，再無秘密可言。

　　PART2 API資產的可知、可視、可管

　　如何更好地管理API全貌資產，而非僅是管理“已知”資產？傳統的API管理方案往往是通過API網關進行資產管理與更新，業務開發人員在開發過程中需及時將新開發的API注冊在API網關上，并在API內容發生改變時同步更新API定義內容。在這種資產維護方式下，資產清單的準確性與有效性完全依賴于人工管理。

　　隨著企業業務快速擴張，開發人員在不可避免地需要交付更多功能、加快發布速度以適應千變萬化的市場，不斷上線大量新版本API。如此快速的迭代對API資產維護提出了很高的要求，一旦人工維護出現紕漏，僵尸API、僵尸參數等便會不斷積聚，造成惡性循環。

　　另需注意的一點是，關注僵尸API、影子API等API資產管理漏洞的往往是企業的安全人員，而API網關通常由業務部門維護。也就是說，安全人員對API風險的防控工作，是以業務人員的API資產維護工作為基礎的，這之間就存在跨部門協作的壁壘問題。

　　那么，如何解決上述的API資產清單人工維護成本高且準確性難以保障的問題？如何打破安全部門與業務部門在API資產管理協作上的壁壘？面對這兩大問題，傳統的API網關管理模式已不再有效，需要引入新的管理模式——API資產發現，實現對全貌API資產的自動盤點與分析。

　　PART3 API資產發現的應用實踐

　　為了實現API的安全應用，企業組織需要進行全面的API資產發現，從API資產盤點，到API路徑折疊與規范化，再到進一步的敏感數據暴露面清點。基于以上設計思路，網宿安全在API防護產品上進行應用實踐，已可較好實現API資產的可知、可視、可管。

　　1.全自動的資產盤點

　　基于流量數據分析，無需改變用戶現有部署架構，實時盤點流量中的API資產。全自動梳理API列表資產、API參數資產、API調用方法等多維度API資產清單。根據預定義的API流量請求特征，結合機器學習的API流量基線，持續性地捕獲流量中的API資源。區別于普通URL資源，API在數據傳輸格式、資源/操作定義等方面具有其鮮明的特性。通過對全量API列表資產進行進一步分析，描繪其請求趨勢、響應狀態、被調用方法等接口活躍狀態，即可令API列表資產可視、可知。

　　API資產自動盤點的范圍不僅限于API列表資產，清點參數資產同樣重要。針對捕獲到的API列表清單，API防護產品需要能夠通過建立正常用戶數據傳輸基線，識別API調用需攜帶的參數名稱、參數位置、參數類型、是否為必帶參數等，甚至提煉請求Body的數據結構，從而為企業充分清點全量API列表資產中正被使用的參數資產，發現僵尸參數或是攻擊偽造的惡意參數。

　　2. API路徑折疊與規范化

　　API 資產中，存在眾多類似“api/test/111”與“api/test/112”這樣路徑高度重合的API端點。進一步觀測這些近似的API端點，會發現它們往往也具有相同的用途。這些API端點往往僅有固定位置的路徑參數不同，而路徑參數的變量多達成百上千。

　　這類路徑、用途高度重合的API端點若全盤列出，可能會造成API資產列表過于龐大的問題。充斥著這些冗余數據的海量列表給管理增加了難度，甚至難以完成人工確認。因此，API防護產品需要能夠持續分析這類高重合度的API端點，將這些端點在API資產列表中進行折疊，并將路徑中的變量規范為路徑參數，以進一步聯動后續防護模塊進行參數合規檢測。

　　3. 敏感數據暴露面清點

　　各類敏感數據在接口傳輸過程中飛速流轉，有些敏感數據是必要傳輸內容，但有部分敏感數據因接口的過度暴露而遭到不必要的泄露。在實際應用中，敏感數據暴露面的清點可有助發現此現象。敏感數據識別引擎實時分析、判別請求數據與響應數據中流轉的敏感參數信息，智能識別身份證、手機號、銀行卡號等敏感數據，分析與統計全盤API敏感數據暴露態勢，幫助企業擺脫敏感數據“燈下黑”的困境。

更多信息可以來這里獲取==>>電子技術應用-AET<<