为什么 API 滥用是一个严峻的挑战

根据Akamai观察，从互联网的流量上看，API流量占到互联网主要流量形式，超过八成的流量是以API的流量形式承载的。过去一年，API攻击增长超过287%，这意味着互联网的安全形势越来越严峻。

Akamai总结了API滥用对企业的严峻挑战，即使企业在API漏洞方面做得很好，仍然容易受到API滥用的影响。这是因为API 安全的早期工作关注的是防止利用 API 编码或配置方式中的任何漏洞进行攻击。然而， API 滥用的攻击者却没有利用任何类型的技术漏洞，所以API滥用通常难以被发现，并且每个公开API都有潜在的滥用案例。

为了防御日益增长的API滥用威胁，Akamai提出了三项重要策略：

拓展对API攻击的思考

分析更多有关API的数据

利用API发现滥用行为

此外，Akamai强调了需要足够复杂的安全控制来应对这种复杂且快速发展的威胁形势。

零信任对于保护 API 安全的重要性

Akamai讨论了零信任架构（ZTA）在应用程序编程接口（API）安全方面的重要性，指出了ZTA原则与API的交叉点，并提出了扩展ZTA以包含API的初始步骤：

实施持续的 API 发现并维护所有 API 和 API 可访问资产的准确清单

当发现未经批准的 API 时，确保系统化的工作流程到位，将其纳入管理或消除

无论 API 是公共的还是私有的，都实施完善的 API 身份验证和授权

从OWASP API 安全 Top 10开始，主动识别 API 漏洞作为一项持续的学科

开发分析大型 API 流量数据集的功能，以确定正常行为的基线并执行异常检测

通过 API 集成实施时，将威胁和信任洞察馈送到 ZTA 策略引擎中

当 API 漏洞、威胁和滥用行为出现时启动自动响应

Akamai将XDR功能引入 API 安全防护

随着时间的变化，很多安全孤岛都逐渐发展为包含更多统一的扩展检测和响应 (XDR) 方法。Akamai 看到了将 XDR 的强大功能引入 API 安全性中的机会。虽然XDR可以为企业安全带来重要价值，但对于面向合作伙伴应用程序和机器对机器通信的API安全威胁，XDR可能并不会带来太多益处。然而，可以通过创新方式将XDR原则应用于API安全防护，特别是利用行为分析和威胁搜寻等技术。

Akamai 产品的用户界面中提供了一个功能强大的 API 威胁搜寻 工具集。API Security 是一个全新解决方案 ，若企业的 API 威胁搜寻技能可能仍然处于发展阶段，Akamai也提供了 Akamai API Security ShadowHunt，这是行业内仅有的由专家提供支持的托管 API 威胁搜寻服务。

Akamai的安全产品组合

Akamai 通过帮助将安全性嵌入到企业创建的所有内容中（无论企业在何处构建以及在何处交付）来保护客户体验、系统和数据。利用Akamai全球平台的威胁可视性、广泛的解决方案组合提供行业领先的可靠性，因此企业可以领先于威胁并快速适应不断变化的安全形势。Akamai的安全解决方案产品组合包括：

零信任安全（防止攻击进展和横向移动）：在整个网络中采用零信任来加速合规性并保护您的应用程序和工作负载免受勒索软件的侵害。

应用程序和 API 安全性（保护工作流程、用户和业务逻辑）：通过保护各地的应用程序和 API，保护企业的在线形象免受恶意活动和欺诈的影响。

基础设施安全（保护为应用程序提供支持的基础设施）：通过保护云、本地和混合中的应用程序基础设施，保持业务连续性，抵御 DDoS 和 DNS 攻击。

《API安全8个注意事项》

根据Akamai创建的 《API 安全 8 个注意事项》的简短指南 ，总结了Akamai在研究以及与世界上一些最复杂的 API 驱动组织的合作中获得的一些经验教训和最佳实践。它包括为组织开发更复杂的API 安全策略时要实施的基本策略以及要避免的陷阱：

努力实现完整的 API 可见性

务必将业务环境作为企业的战略核心

优先考虑跨部门协作

务必将 API 安全视为一个连续的生命周期

不要害怕云，将迁移到云作为 API 安全策略的一部分至关重要

不要让数据成为一条单行道

不要忽视第三方 API

不要只专注于警报发生后，请考虑主动搜寻威胁