隨著微服務架構的普及、開發(fā)向低代碼/無代碼轉變，API（應用程序編程接口）的應用持續(xù)擴大。據(jù)統(tǒng)計，API請求已占所有應用請求的83%，預計2024年API請求命中數(shù)將達到42萬億次，API已經(jīng)成為數(shù)字世界的基礎設施。與此同時，API攻擊呈現(xiàn)爆發(fā)態(tài)勢。2021年API攻擊流量增長了681%，而整體API流量增長了321%。既要API的開放，又要API的安全，成為了企業(yè)開展數(shù)字化業(yè)務的“兩難困境”。

　　為了保障API安全，企業(yè)紛紛將建設API安全防護體系提上日程。但是，API的特性給企業(yè)帶來了一些列的挑戰(zhàn)。首先，API類型多、數(shù)量多。有研究顯示，每家企業(yè)平均管理超過350種不同類型的API，單個復雜業(yè)務應用的API數(shù)量可達10W級。隨著企業(yè)業(yè)務數(shù)字化水平的持續(xù)提升，API的類型和數(shù)量化還在快速增長中。其次，API安全漏洞多、訪問流量大。不同類型的API存在不同的安全漏洞。由于API資產規(guī)模龐大、類型繁雜，企業(yè)往往難以及時修補這些漏洞，也難以及時相關的攻擊行為。最后，API傳輸?shù)拿舾袛?shù)據(jù)多，威脅感知難。API中傳輸著大量敏感數(shù)據(jù)，企業(yè)難以感知哪些敏感數(shù)據(jù)被訪問，出現(xiàn)訪問異常后也難以實時阻斷，并對威脅進行分析溯源。

　　API安全監(jiān)測平臺 助力企業(yè)破解API安全難題

　　面對這些API安全風險，建設API安全監(jiān)測平臺，借助平臺統(tǒng)一管理API安全資產、監(jiān)測API攻擊、保障數(shù)據(jù)安全成為了企業(yè)的必然選擇。API安全監(jiān)測平臺作為企業(yè)管理API資產、保障API安全的重要工具，通常采用旁路部署，使用探針監(jiān)測、分析網(wǎng)絡和業(yè)務應用的API鏡像流量。平臺通常具備API資產發(fā)現(xiàn)、API資產畫像、API脆弱性發(fā)現(xiàn)與修補、API攻擊監(jiān)測、數(shù)據(jù)安全分析等功能，幫助企業(yè)建立API安監(jiān)測體系，保證自身的網(wǎng)絡安全與業(yè)務安全。

　　API安全監(jiān)測平臺的核心功能主要包括API資產發(fā)現(xiàn)、API脆弱性分析、API攻擊監(jiān)測、數(shù)據(jù)安全分析。其中，API資產發(fā)現(xiàn)是API安全監(jiān)測平臺的基礎功能。API安全監(jiān)測平臺基于流量基線和數(shù)據(jù)模型，自動發(fā)現(xiàn)API資產，對API進行梳理、分析和分類，建立API資產畫像，以可視化方式展現(xiàn)API信息。針對API脆弱性問題，平臺能夠自動分析和發(fā)現(xiàn)系統(tǒng)中API的脆弱性問題，對API存在的越權、注入、失速和敏感數(shù)據(jù)暴露等漏洞進行檢測，并提供對應的修補方案。針對API攻擊，平臺能夠實時監(jiān)控API訪問情況，分析流量數(shù)據(jù)，識別風險行為，發(fā)出攻擊報警。平臺提供對API攻擊的分析、溯源功能，幫助企業(yè)實現(xiàn)對API風險行為的全生命周期管理。針對企業(yè)的數(shù)據(jù)安全需求，A平臺能夠依照數(shù)據(jù)識別規(guī)則，檢測API接口中雙向傳輸?shù)拿舾袛?shù)據(jù)。針對命中風險事件的IP、賬號，平臺能夠聯(lián)動其它安全產品，進行主路實時阻斷。同時，平臺支持對敏感事件的訪問取證，安全人員可對敏感數(shù)據(jù)進行追蹤溯源。

　　多場景落地 提升企業(yè)數(shù)據(jù)安全水平

　　API安全監(jiān)測平臺偏重于API安全的監(jiān)測，多與偏重于策略與響應的API安全網(wǎng)關配合使用，在Web應用安全、企業(yè)內網(wǎng)安全、數(shù)據(jù)安全等場景下，保障企業(yè)數(shù)字化業(yè)務的安全。

　　當前，企業(yè)的Web應用通過API向合作方提供數(shù)據(jù)、服務。API安全監(jiān)測平臺能夠對Web API進行脆弱性分析，檢測API安全漏洞，并給出修補方案；能夠實時監(jiān)控Web API的訪問情況，分析流量數(shù)據(jù)，基于API威脅模型識別風險行為并發(fā)出報警。

　　在企業(yè)內網(wǎng)安全場景下，針對企業(yè)內網(wǎng)中業(yè)務應用與業(yè)務應用之間的API，以及應用內部功能模塊之間的API，API安全監(jiān)測平臺能夠自動發(fā)現(xiàn)API資產，對API資產進行梳理、分類和聚合，完成API資產畫像，幫助企業(yè)實現(xiàn)對API的全生命周期管理。API安全監(jiān)測平臺還能夠完成API脆弱性分析、監(jiān)測API攻擊、識別敏感數(shù)據(jù)，幫助及時發(fā)現(xiàn)和處理潛在的API安全問題

　　針對企業(yè)的數(shù)據(jù)安全需求，API安全監(jiān)測平臺應能自動識別API接口中雙向傳輸?shù)拿舾袛?shù)據(jù)。針對命中風險事件的IP、賬號，平臺能夠發(fā)出警報并聯(lián)動其它安全產品，進行主路實時阻斷，保障企業(yè)數(shù)據(jù)安全。API安全監(jiān)測平臺支持對敏感事件的訪問取證，安全人員可對敏感數(shù)據(jù)進行追蹤溯源。

　　目前，API安全監(jiān)測平臺已經(jīng)在金融、互聯(lián)網(wǎng)、運營商都行業(yè)落地應用，取得了良好的實踐效果。某股份制商業(yè)銀行采用芯盾時代API安全監(jiān)測平臺管理企業(yè)的API資產，對原有API資產進行了全面的梳理，以功能、應用等多種維度聚合同類API，形成分類明確、路徑清晰的API資產樹，構建API資產畫像，建立“全局可視、單點清晰”的API資產管理體系。借助API安全監(jiān)測平臺，該銀行對所有API進行了脆弱性分析，修補了大量的API安全漏洞，有效提升了API安全水平。