组织如何防御日益增加的 API 攻击面

应用程序编程接口 (API) 日益重要。随着 API 超出手动控制范围，组织可能面临更大的安全挑战。 

在这里，我们与 Akamai 安全技术战略总监 Karl Mattson 进行了交谈。 

请介绍一下您的职位和背景。 

我在网络安全和技术领导方面拥有超过 25 年的经验，有幸领导金融服务、零售和联邦政府部门的团队。

2021 年 7 月，我加入 Noname Security 担任 CISO，在那里我帮助建立了严格的运营和 API 安全卓越标准，并倡导根据客户需求持续改进平台。

现在，我是 Akamai（纳斯达克股票代码：AKAM）的安全技术战略总监，Akamai 是一家为在线生活提供动力和保护的云计算公司，Akamai 于 2024 年 6 月收购了 Noname Security。

在我目前的职位上，我负责领导 Akamai 安全产品组合的战略，包括新的合作伙伴关系、产品和联盟，以便 Akamai 不断为我们的全球客户提供创新。  

在加入 Noname Security 之前，我曾担任 PennyMac Loan Services 和 City National Bank 的 CISO。此外，我还曾担任 PNC 的 IT 风险管理高级副总裁。 

API 面临的最大威胁是什么？为什么 API 安全威胁和风险日益普遍？

API 无处不在。任何拥有移动应用程序或现代 Web 应用程序 (SPA)、使用云、进行数字化转型、与业务合作伙伴集成、运行微服务或使用 Kubernetes 的企业都使用和运行 API。

在保护 API 方面，主要重点是保护通过 API 传输的数据。最近的网络攻击趋势指出了两个主要威胁因素。

首先是数据盗窃，这些数据可能被滥用和转售用于各种犯罪目的。这种类型的数据盗窃可能会给组织带来重大的财务和声誉损失。第二种威胁是赎金，通过 API 窃取的数据被勒索，并威胁公开破坏、泄露或滥用贵公司的数据或图像以获取经济利益。 

随着大型语言模型 (LLM) 变得越来越普遍，它们对嵌入和集成应用程序的 API 的依赖将会增加。随着系统变得越来越互联，保护连接软件的管道和 API 至关重要。API 攻击的增加意味着使用生成式 AI 技术的组织面临着类似的风险。为了维持信任，行业必须专注于实施安全的 API 并确保第三方交易的强大安全实践。

当今的现代企业是如何依赖 API 的？

Mattson： API 是我们数字生活几乎所有方面的通用连接器——网络和移动应用程序、B2B 商务以及幕后的公共云基础设施。在每个垂直行业中，API 优先的数字战略都会为客户和员工、业务收入流和资源效率带来新的数字体验。 

现代企业依靠 API 来满足软件用户对更多数字体验功能不断变化的需求。例如，移动应用用户需要全面的信息，例如通过银行应用查看房屋价值或查看信用评分以及信用卡详细信息。只要消费者寻求增强的数字体验，API 仍将是实现这些改进的最有效方式。

组织如何主动防范日益增加的 API 攻击面？

为了主动防御日益增加的 API 攻击面，组织需要实施全面的安全策略，其中考虑并包括以下内容：

1. 彻底理解业务逻辑和应用程序工作流程

2. 进行彻底的威胁建模以识别潜在的滥用案例

3. 实施强大的 API 安全措施并保持所有 API（包括影子 API）的可见性

4. 采用先进的安全解决方案，利用行为分析和人工智能检测并防止业务逻辑滥用

API 正日益成为攻击者入侵系统的前门和后门，攻击者利用 API 漏洞获取访问权限，并利用 API 流量窃取数据。为了打击这种滥用行为，组织需要采用整体安全方法，持续监控 API，并学习和适应不断发展的 API 行为。

如今，API 安全市场正在迅速成熟。如果过去的讨论是关于 API 安全的需求，那么今天的讨论就是如何实现，因为这种需求已经确立。

数据显示，2023 年第一季度至 2024 年第一季度期间，针对应用程序和 API 的网络攻击激增了 49%，因为从 2023 年 1 月到 2024 年 6 月记录了超过 1080 亿次 API 攻击。 

由于 API 已成为现代组织中的关键管道，软件代码以创新且令人深感不安的方式遭受攻击。

因此，我们可以预见 API 黑客攻击将继续成为主要威胁载体。这些攻击改变了开发人员及其组织的安全格局，更不用说他们的供应商、合作伙伴和客户了。