最近，Imperva 发布了一项新的研究结果，揭示了易受攻击的 API 全球成本正在不断上升，在对近 117000 起特定的网络安全事件分析估计，发现 API 安全威胁每年导致 410-750 亿美元的损失。

从研究结果来看，大型企业发生 API 相关安全事件的比例更高，收入至少为 1000 亿美元的企业遇到 API 安全问题的可能性是中小型企业的 3-4 倍。这一数据侧面表明，大型企业正在加速数字化转型，特别容易受到与未受保护API 有关的安全风险影响。

API 作为一种无形的连接组织，使应用程序能够共享数据，最终改善了用户体验。研究表明，现阶段，企业使用的 API 数量正在迅速增长，近一半企业在内部或公开部署了 50-500 个 API，一些稍大型企业甚至部署了超过 1000 个活跃的API。

企业部署的许多 API 是直接连接到储存敏感数据的后端数据库，因此，网络攻击者越来越多地将 API 作为进入底层基础设施的途径，以窃取敏感信息。当今，每 13 起网络事件中，就有 1 起是因 API 不安全造成，随着 API 数量成倍增加，预计在未来几年内，这一占比将会继续增长。

另外，该研究还发现了行业之间也存在巨大差异，信息技术、专业服务和零售业等行业最有可能遭受与 API 相关的安全事件。

Imperva 产品管理高级副总裁、应用安全部总经理 Karl Triebes 表示，如果没有解决 API 安全问题的战略，世界各地的企业每年将持续损失巨大资金，为了缓解不断增长的 API 相关安全威胁，企业需要能够发现其环境中所有的API并清楚数据在 API 流动动向。

提高 API 安全性的建议：

1. 识别和分类流经每个 API 的数据：可见性对于理解每个 API 的完整架构以及识别和分类流经它的数据以便评估风险至关重要；

2. 自动发现：API 的生成速度快且经常修改，这使它们成为许多组织的盲点。通过自动化，组织可以消除“顽疾”API。此外，通过自动化 API 清单，安全团队可以清晰看到开发人员在生产中修改API 的情况；

3. 启用API治理：对于高度监管行业的实体组织来说，API 治理模式至关重要，只有在可见性超出 API 端点并延伸到底层有效载荷的情况下才有可能，因此可以充分保护敏感数据。

最后，Triebes 强调，每个与 API 相关的安全事件的根源都是数据，保护API 需要转变思维方式，重点是要对数据进行分类，了解生产中的每个 API 是如何访问数据的，这种方式需要安全和开发团队共同努力，将安全嵌入到开发生命周期中。

遗憾的是，在做到这些之前，网络犯罪分子将继续利用脆弱的 API，大量窃取敏感数据。

注：本文内容收集自 helpnetsecurity.com，制作者对其完整性负责，但不对其真实性和有效性负责。

参考文章：

https://www.helpnetsecurity.com/2022/06/28/properly-securing-apis/

来源:FreeBuf