API，中文名稱叫應(yīng)用程序編程接口，是現(xiàn)代移動、SaaS 和 Web應(yīng)用程序的一個關(guān)鍵組成部分。聽起來很晦澀難懂，但其實我們每個人的生活都會接觸 API：早上出門，打開手機(jī)看看天氣，天氣APP需要通過 API 提取數(shù)據(jù)；到了公司，被安排出差，趕緊上網(wǎng)查票，購票網(wǎng)站更新數(shù)據(jù)用的也是API；買好票后，打開OA提交流程，OA應(yīng)用傳遞數(shù)據(jù)用的還是API……在數(shù)字經(jīng)濟(jì)時代，不論是內(nèi)部系統(tǒng)間的調(diào)用，還是各類數(shù)據(jù)匯集平臺，都大量使用了API。

　　為什么API總被攻擊者盯上？概括來說，有三個原因：一、目標(biāo)好找：API的職責(zé)就是應(yīng)用之間的調(diào)用，天然就是公開且暴露的；二、攻擊潛在收益高：API攜帶大量重要數(shù)據(jù)和認(rèn)證信息，一旦攻擊者成功突破 API，可直達(dá)核心系統(tǒng)。三、攻擊防范較困難：大量的API權(quán)限控制不夠精細(xì)，很容易被攻擊者找到漏洞，從而輕易繞過邊界防護(hù)。

　　由于API通常對應(yīng)著大量高價值數(shù)據(jù)，也被各種自動化的爬蟲工具高度關(guān)注，平臺運(yùn)營者飽受薅羊毛、數(shù)據(jù)竊取的干擾，而API的使用也常受到流量占用等威脅的影響，無法正常工作。

　　在攻防對抗愈演愈烈的今天，怎樣讓API的安全保護(hù)更加精準(zhǔn)、有效？傳統(tǒng)的API安全防護(hù)依賴API網(wǎng)關(guān)與WAF、IPS類防護(hù)產(chǎn)品的配合，方案整合復(fù)雜并且針對性不足，在實戰(zhàn)當(dāng)中很容易漏防或誤報，近年來逐漸被專用的API檢測和攻擊防護(hù)系統(tǒng)所替代。

　　作為專用的API檢測和攻擊防護(hù)方案，盛邦安全API資產(chǎn)識別及主動防護(hù)方案為解決API安全防護(hù)問題提供了新的思路：

　　API資產(chǎn)的暴露面很廣，但運(yùn)營者往往不清楚自己有多少API，也不確定哪些是廢棄的、測試的或是有漏洞的，單純通過人工梳理或網(wǎng)關(guān)搜集很難理清，并且無法掌握狀態(tài)變化。

　　盛邦安全API資產(chǎn)識別及主動防護(hù)方案采用主被動結(jié)合的學(xué)習(xí)方式，可以全面識別API資產(chǎn)，一方面通過流量學(xué)習(xí)來梳理活躍的API數(shù)據(jù)；另一方面通過主動畫像的方式來發(fā)現(xiàn)暴露的API資產(chǎn)，同時記錄API的狀態(tài)變化并結(jié)合用途屬性進(jìn)行分級分類，區(qū)分在用API、廢棄API、測試API、帶病API和未知API，最終形成動態(tài)更新的API資產(chǎn)清單。

　　針對API的攻擊不同于傳統(tǒng)攻擊類型，并且API漏洞隱藏較深，通用的檢測方法難以形成有效防護(hù)。盛邦安全API資產(chǎn)識別及主動防護(hù)方案利用機(jī)器學(xué)習(xí)算法，構(gòu)建了一套API攻擊訓(xùn)練模型，通過持續(xù)積累和更新攻擊邏輯來訓(xùn)練檢測引擎，形成對未知威脅的識別能力，有效防范0day漏洞的威脅。

　　相比其他類型的資產(chǎn)而言，API資產(chǎn)訪問規(guī)則較為標(biāo)準(zhǔn)，因此更容易遭受BOT攻擊，除了加強(qiáng)對API使用權(quán)限的鑒別和管控之外，盛邦安全API資產(chǎn)識別及主動防護(hù)方案還利用人機(jī)識別的方法來發(fā)現(xiàn)各種自動化腳本、爬蟲工具和BOT工具，可以更準(zhǔn)確地區(qū)分正常調(diào)用與非法爬取行為，從而抵御BOT攻擊的干擾，提升業(yè)務(wù)安全的保護(hù)能力。

　　除了部署專用的API檢測和攻擊防護(hù)方案之外，企業(yè)還需要強(qiáng)化API的數(shù)據(jù)保護(hù)，并進(jìn)行流量限制，這對于防范數(shù)據(jù)外泄、避免 API 濫用行為有著重要意義。

　　盛邦安全將基于在安全技術(shù)方面的長期積累與創(chuàng)新，幫助企業(yè)更好地保護(hù) API 的安全可靠，保證業(yè)務(wù)調(diào)用與協(xié)同的安全。