2023年API安全技术发展的六个“大事件”

API技术逐渐成了现代数字业务环境的大事件基础组成，也是安全企业数字化转型发展战略实现的核心要素，几乎所有的技术企业都依赖API进行服务连接 、数据传输和系统控制 。发展然而，大事件API的安全爆炸式应用也为攻击者提供了更多的方法，而现有的技术安全工具却难以检测和减轻特定于API的威胁，使组织容易受到妥协、发展滥用和欺诈的模板下载大事件影响 。

据网络安全厂商Traceable AI最新发布的安全报告数据显示 ，在过去两年中
，技术由API引发的发展网络攻击面正在持续增加，60%的大事件受访企业发生过与API相关的安全事件，其中74%的安全组织存在三次或以上的安全事件 。同时 ，技术能够有效识别API活动及用户行为的企业不足四成，有57%的香港云服务器受访企业表示传统的安全解决方案难以识别API活动和API欺诈事件。更糟糕的是，61%的受访组织预计未来两年API相关风险将继续攀升 ，但只有33%的受访组织对有效管理API威胁有信心。

由于API在设计架构上的特殊性 ，它们无法通过传统的应用安全工具进行有效的保护，而是需要企业安全团队的免费模板更全面关注，并从更广泛的角度解决API应用安全缺口 。以下是今年以来6个值得关注的API计划、项目和事件 ，旨在帮助组织改进和优化API应用的安全性。

1、Open Gateway API计划推出

今年2月，全球移动行业协会GSMA推出了GSMA开放网关（GSMA Open Gateway）计划
，这是一项面向全行业的API安全性保护倡议
，旨在帮助应用系统的建站模板开发者和云服务商通过开放网络API框架，加强与移动运营商的合作，从而更安全地提供对全球运营商网络的访问服务 。研究人员表示，该计划或将成为云基础设施服务与运营商物理网络之间的通用安全“粘合剂”
。

据GSMA相关负责人介绍，Open Gatewa API计划已经得到全球超过20家的移动网络运营商的支持，包括America Movil 、AT&T、Axiata、Bharti Airtel 、云计算德国电信、KT
、法国电信
、威瑞森和沃达丰等 ，以及我国的电信运营商中国移动。

2 、零信任API安全参考架构发布

今年6月，创新安全公司Traceable AI发布了零信任API安全参考架构，这是一个将API安全性集成到零信任安全架构的实践指南
。据Traceable AI表示，该架构与NIST零信任架构保持一致，确保了兼容性
、互操作性和法规遵从性，源码库帮助企业组织以可靠的方式实现零信任架构下的API应用安全性 。该架构主要概述了如下内容：

确定了API级别的零信任关键原则和定义；明确零信任在API级别方面需要考虑的因素；组织在零信任部署中实现API安全性的策略。

3 、《API安全最佳实践白皮书》编写完成

今年6月 ，F5公司完成编写并发布了《API安全最佳实践：API防护的关键考虑因素》（API Security Best Practices: Key Considerations for API Protection）白皮书，概述了现代企业组织面临的各种API安全挑战和风险，以及安全和风险团队可用于加强组织API安全的策略 。

白皮书研究发现 ，API促进了去中心化和分布式架构，为第三方能力集成提供了更多的机会
，也从根本上改变了安全和风险团队的运作方式。为了应对API安全，新一代防护方案需要包括持续监控和保护API端点
，以及对不断变化的应用程序生命周期做出反应。

电子书传送门：

https://www.f5.com/go/ebook/api-security-best-practices-key-considerations-for-api-protection

4
、《Web应用安全性指南》联合发布

今年7月，澳大利亚网络安全中心（ACSC）、美国网络安全和基础设施安全局（CISA） 以及美国国家安全局（NSA）联合发布《Web应用安全性指南》
，警告Web应用程序的供应商 、开发人员和用户组织，应该高度关注和避免不安全的直接对象引用（IDOR）漏洞。

IDOR漏洞是一种访问控制漏洞 ，允许恶意行为者通过向网站或Web API发出指定其他有效用户的用户标识符的请求
，来修改或删除数据或访问敏感数据 。IDOR攻击是最常见且危害性巨大的API攻击形式之一  ，已导致数百万用户和消费者的个人信息泄露
。为此 ，报告编写人员强烈鼓励供应商 、设计人员 、开发人员和最终用户组织尽快实施以下安全建议：

实施设计安全和默认原则，并确保软件对每个访问敏感数据的请求执行身份验证和授权检查；使用自动化工具进行代码审查来识别和修复IDOR漏洞；使用间接引用映射 ，确保ID、名称和密钥不会在URL中公开 ，并将它们替换为加密强度高的随机值；引用第三方库或框架时要进行安全性尽职调查，并使所有第三方框架和依赖项保持最新；选择Web应用程序时要进行安全性尽职调查 ，遵循供应链风险管理的最佳实践；尽快为存在安全隐患的Web应用打上补丁；定期进行主动漏洞扫描和渗透测试
，以帮助确保面向互联网的Web应用程序和网络边界的安全。

5
、OWASP更新API安全风险列表

今年7月，OWASP发布了本年度API安全性Top10榜单，详细介绍了企业面临的十大API安全风险。这是自2019年发布以来首次更新特定于API的风险指南，旨在教育那些参与API开发和维护的人员（例如开发人员 、设计人员、架构师、管理人员或组织）规避常见的API安全风险。最新的API安全风险列表如下：

对象级授权失败（BOLA）；破损的身份验证；对象属性级别授权失败；无限制地资源消耗；功能级别授权失败；无限制访问敏感业务流；服务器端请求伪造（SSRF）；安全配置错误；库存管理不当；不安全的API使用。

6、加强API安全生态系统合作的STEP计划推出

今年8月，安全公司Salt Security启动了Salt技术生态系统合作伙伴（Salt Technical Ecosystem Partner，STEP）计划，旨在整合整个API生态系统的解决方案，并使组织能够强化自身的API安全态势。该计划旨在帮助企业开展基于风险的API应用安全测试方法 ，将扫描工作集中在高优先级的API应用上。

StackHawk首席执行官Joni Klippert表示：“为了提供强大的AppSec程序，开发人员需要使用更先进的技术 ，在将代码部署到生产环境之前 ，简化查找和修复漏洞的过程 。鉴于API开发的爆炸式增长，团队需要优先考虑并自动化API的安全测试 ，并以与开发人员工作流程无缝集成的方式进行测试
。”

参考链接：

https://www.csoonline.com/article/652754/6-notable-api-security-initiatives-launched-in-2023.html