從研究結果來看，大型企業發生 API 相關安全事件的比例更高，收入至少為 1000 億美元的企業遇到 API 安全問題的可能性是中小型企業的 3-4 倍。這一數據側面表明，大型企業正在加速數字化轉型，特別容易受到與未受保護API 有關的安全風險影響。

API 作為一種無形的連接組織，使應用程序能夠共享數據，最終改善了用戶體驗。研究表明，現階段，企業使用的 API 數量正在迅速增長，近一半企業在內部或公開部署了 50-500 個 API，一些稍大型企業甚至部署了超過 1000 個活躍的API。

企業部署的許多 API 是直接連接到儲存敏感數據的后端數據庫，因此，網絡攻擊者越來越多地將 API 作為進入底層基礎設施的途徑，以竊取敏感信息。當今，每 13 起網絡事件中，就有 1 起是因 API 不安全造成，隨著 API 數量成倍增加，預計在未來幾年內，這一占比將會繼續增長。

另外，該研究還發現了行業之間也存在巨大差異，信息技術、專業服務和零售業等行業最有可能遭受與 API 相關的安全事件。

Imperva 產品管理高級副總裁、應用安全部總經理 Karl Triebes 表示，如果沒有解決 API 安全問題的戰略，世界各地的企業每年將持續損失巨大資金，為了緩解不斷增長的 API 相關安全威脅，企業需要能夠發現其環境中所有的API并清楚數據在 API 流動動向。

提高 API 安全性的建議：

• 識別和分類流經每個 API 的數據：可見性對于理解每個 API 的完整架構以及識別和分類流經它的數據以便評估風險至關重要；
• 自動發現：API 的生成速度快且經常修改，這使它們成為許多組織的盲點。通過自動化，組織可以消除“頑疾”API。此外，通過自動化 API 清單，安全團隊可以清晰看到開發人員在生產中修改API 的情況；
• 啟用API治理：對于高度監管行業的實體組織來說，API 治理模式至關重要，只有在可見性超出 API 端點并延伸到底層有效載荷的情況下才有可能，因此可以充分保護敏感數據。

最后，Triebes 強調，每個與 API 相關的安全事件的根源都是數據，保護API 需要轉變思維方式，重點是要對數據進行分類，了解生產中的每個 API 是如何訪問數據的，這種方式需要安全和開發團隊共同努力，將安全嵌入到開發生命周期中。

遺憾的是，在做到這些之前，網絡犯罪分子將繼續利用脆弱的 API，大量竊取敏感數據。

注：本文內容收集自 helpnetsecurity.com，制作者對其完整性負責，但不對其真實性和有效性負責。

參考文章：https://www.helpnetsecurity.com/2022/06/28/properly-securing-apis/