作者: 刘炅 Akamai大中华区产品市场经理 

网上购物平台PandaBuy超过130万客户的数据被泄露。据称该起事件是两名黑客利用多个漏洞入侵系统后造成的。PandaBuy允许国际用户从中国的各种电子商务平台购买产品，包括天猫、淘宝和京东。一个名叫“Sanggiero”的威胁者声称与另一名叫“IntelBoker”的威胁者一起入侵了PandBuy。而据威胁参与者表示，他们是通过利用平台API中的几个关键漏洞来窃取数据的。

随着互联网的发展和演进，各种技术应运而生。微服务架构的采用，开发过程对于创新和敏捷性的要求，开放的生态对于接口开放的需求、以及AI中大预言模型（LLM）对于API调用的依赖，都促成了API的广泛的采用和高速的发展。 API流量已经统治了互联网，近30%的互联网流量为API的流量。

API流量承载着企业重要的、甚至是敏感的数据，已经成为了企业重要的资产。也正因为如此，API也成为了黑客攻击的主要目标。据统计，互联网的攻击中，有31%的攻击目标都是企业的API资产，有78%的企业在过去的12个月中都受到过API的攻击。许多基于API攻击导致的数据流失、系统不可用，使得企业对于API安全愈加重视，很多安全标准化组织、行业安全标准也都把API安全的检测和防护纳入到标准中，也使得企业对于API的安全建设有据可依。

API的安全建设和防护已经是企业安全架构中最重要的一环，API作为流动的数据，是企业最需要保护的资产之一。

API安全现状概览

Akamai 的《2024 年互联网 API 威胁状况报告》显示，2023年全年，针对API的网络攻击占比高达29%，凸显了API已成为网络犯罪分子的重点攻击对象。尤为值得关注的是，业务逻辑滥用问题日益凸显，因缺乏明确的API行为基线，异常活动难以被及时察觉。此外，根据Gartner研究：《API保护市场指南》，API漏洞导致的数据泄露规模远超一般安全漏洞。

从数据层面来看，Akamai的SOTI报告《数字堡垒被围攻：现代应用程序架构面临的威胁》也揭示了一个更为惊人的事实：从2023年第一季度至2024年第一季度，全球范围内针对应用程序和API的攻击数量激增了49%，而在亚太地区，这一数字更是攀升至65%。在短短一年半的时间内，全球范围内记录的API攻击次数竟高达1080亿次。

API滥用现象的多元化与严峻性

对于企业而言，API的滥用已成为不容忽视的隐忧。滥用形式层出不穷，包括但不限于内部人员的未授权访问、数据泄露以及DDoS攻击等。其中，本地文件包含(LFI)、跨站脚本(XSS)、SQL注入(SQLi)、命令注入(CMDi)以及服务器端请求伪造(SSRF)等攻击手段尤为猖獗，且从2023年第一季度至2024年第一季度均呈现显著上升趋势。

尤为值得注意的是，第7层DDoS攻击在亚太地区迅速崛起，成为新的安全威胁。高科技、商业和社交媒体成为其主要攻击目标。据统计，以网站和在线服务应用层为目标的第7层DDoS攻击在过去一年中激增了五倍，总攻击次数高达5.1万亿次。这类攻击通过海量请求使目标网站和服务不堪重负，导致响应迟缓甚至完全瘫痪。

API安全威胁的根源探析

亚太地区频繁遭受的API和网络攻击，与其经济的快速数字化转型密不可分。在激烈的市场竞争中，企业为抢占市场先机，纷纷加速线上运营转型步伐，导致开发和安全资源捉襟见肘，安全流程往往被置于次要地位。与此同时，API经济的蓬勃发展也为网络犯罪分子提供了可乘之机，他们利用漏洞和滥用业务逻辑的手段层出不穷。据预测，至2027年，API将对全球经济产生高达14.2万亿美元的经济影响。然而，这一巨大利益背后，也隐藏着API安全复杂性的加剧。因此，构建一套可靠的最佳实践体系，以妥善保护企业敏感数据、确保API安全，显得尤为迫切和重要。

防御策略建议

面对API安全的严峻挑战，企业应如何构建有效的防护体系？企业可以参考以下几点建议：

1.提升可视性：企业应首先确保对API的全面掌控和清晰认知。这包括对所有API的存在、端点及功能进行详尽梳理和记录。通过增强API的透明度，企业能够及时发现并处理潜在的安全隐患。

2.强化漏洞管理：从设计和构建阶段开始，企业应建立一套完整的漏洞管理体系。利用OWASP安全风险清单等工具为开发人员提供良好编码实践的指导；同时，与专业的安全厂商合作，共同推进跨部门、跨团队的协作机制，以实现对潜在风险的及时识别和有效防御。

3.加强业务逻辑保护：鉴于攻击手段的多样化，企业需高度重视业务逻辑的安全性。通过建立业务逻辑基线、实施严格的访问控制和审计机制等措施，企业能够有效抵御针对业务逻辑的攻击行为，确保关键业务数据的安全与完整。

API已成为现代企业数字化转型的核心驱动力。在高度依赖API的数字环境中，企业必须建立并执行强大的安全策略以确保API的安全。通过保护API，企业将能够发掘新的收入增长点，提升运营效率并优化客户体验，以成功驾驭不断变化的数字环境。