駭客眼中的“香餑餑”：API攻擊為啥盛行，企業應該如何防範？

近幾年，說起攻防對抗，大家聊的最多的可能是0day、釣魚、供應鏈風險……對於一個駭客來說，如果他要挑一個既省事又好用的攻擊突破口，那首選恐怕就是API了。

API到底是什麼？

API，中文名稱叫應用程式程式設計介面，是現代移動、SaaS 和 Web應用程式的一個關鍵組成部分。聽起來很晦澀難懂，但其實我們每個人的生活都會接觸 API：早上出門，開啟手機看看天氣，天氣APP需要透過 API 提取資料；到了公司，被安排出差，趕緊上網查票，購票網站更新資料用的也是API；買好票後，開啟OA提交流程，OA應用傳遞資料用的還是API……在數字經濟時代，不論是內部系統間的呼叫，還是各類資料彙集平臺，都大量使用了API。
為什麼駭客對API情有獨鍾？
為什麼API總被攻擊者盯上？概括來說，有三個原因：一、目標好找：API的職責就是應用之間的呼叫，天然就是公開且暴露的；二、攻擊潛在收益高：API攜帶大量重要資料和認證資訊，一旦攻擊者成功突破 API，可直達核心系統。三、攻擊防範較困難：大量的API許可權控制不夠精細，很容易被攻擊者找到漏洞，從而輕易繞過邊界防護。

由於API通常對應著大量高價值資料，也被各種自動化的爬蟲工具高度關注，平臺運營者飽受薅羊毛、資料竊取的干擾，而API的使用也常受到流量佔用等威脅的影響，無法正常工作。

API安全防護怎麼做？

在攻防對抗愈演愈烈的今天，怎樣讓API的安全保護更加精準、有效？傳統的API安全防護依賴API閘道器與WAF、IPS類防護產品的配合，方案整合複雜並且針對性不足，在實戰當中很容易漏防或誤報，近年來逐漸被專用的API檢測和攻擊防護系統所替代。

作為專用的API檢測和攻擊防護方案，盛邦安全API資產識別及主動防護方案為解決API安全防護問題提供了新的思路：

l  主被動結合的API資產發現能力，精準識別API資產攻擊面

API資產的暴露面很廣，但運營者往往不清楚自己有多少API，也不確定哪些是廢棄的、測試的或是有漏洞的，單純透過人工梳理或閘道器蒐集很難理清，並且無法掌握狀態變化。

盛邦安全API資產識別及主動防護方案採用主被動結合的學習方式，可以全面識別API資產，一方面透過流量學習來梳理活躍的API資料；另一方面透過主動畫像的方式來發現暴露的API資產，同時記錄API的狀態變化並結合用途屬性進行分級分類，區分在用API、廢棄API、測試API、帶病API和未知API，最終形成動態更新的API資產清單。

l  基於機器學習的API攻擊訓練引擎，有效防範0day漏洞威脅

針對API的攻擊不同於傳統攻擊型別，並且API漏洞隱藏較深，通用的檢測方法難以形成有效防護。盛邦安全API資產識別及主動防護方案利用機器學習演算法，構建了一套API攻擊訓練模型，透過持續積累和更新攻擊邏輯來訓練檢測引擎，形成對未知威脅的識別能力，有效防範0day漏洞的威脅。

l  基於人機識別的BOT攻擊檢測防護，全面防範業務安全風險

相比其他型別的資產而言，API資產訪問規則較為標準，因此更容易遭受BOT攻擊，除了加強對API使用許可權的鑑別和管控之外，盛邦安全API資產識別及主動防護方案還利用人機識別的方法來發現各種自動化指令碼、爬蟲工具和BOT工具，可以更準確地區分正常呼叫與非法爬取行為，從而抵禦BOT攻擊的干擾，提升業務安全的保護能力。

除了部署專用的API檢測和攻擊防護方案之外，企業還需要強化API的資料保護，並進行流量限制，這對於防範資料外洩、避免 API 濫用行為有著重要意義。

盛邦安全將基於在安全技術方面的長期積累與創新，幫助企業更好地保護 API 的安全可靠，保證業務呼叫與協同的安全。