API，中文名稱(chēng)叫應用程序編程接口，是現代移動(dòng)、SaaS 和 Web應用程序的一個(gè)關(guān)鍵組成部分。聽(tīng)起來(lái)很晦澀難懂，但其實(shí)我們每個(gè)人的生活都會(huì )接觸 API：早上出門(mén)，打開(kāi)手機看看天氣，天氣APP需要通過(guò) API 提取數據；到了公司，被安排出差，趕緊上網(wǎng)查票，購票網(wǎng)站更新數據用的也是API；買(mǎi)好票后，打開(kāi)OA提交流程，OA應用傳遞數據用的還是API……在數字經(jīng)濟時(shí)代，不論是內部系統間的調用，還是各類(lèi)數據匯集平臺，都大量使用了API。

　　為什么API總被攻擊者盯上？概括來(lái)說(shuō)，有三個(gè)原因：一、目標好找：API的職責就是應用之間的調用，天然就是公開(kāi)且暴露的；二、攻擊潛在收益高：API攜帶大量重要數據和認證信息，一旦攻擊者成功突破 API，可直達核心系統。三、攻擊防范較困難：大量的API權限控制不夠精細，很容易被攻擊者找到漏洞，從而輕易繞過(guò)邊界防護。

　　由于A(yíng)PI通常對應著(zhù)大量高價(jià)值數據，也被各種自動(dòng)化的爬蟲(chóng)工具高度關(guān)注，平臺運營(yíng)者飽受薅羊毛、數據竊取的干擾，而API的使用也常受到流量占用等威脅的影響，無(wú)法正常工作。

　　在攻防對抗愈演愈烈的今天，怎樣讓API的安全保護更加精準、有效？傳統的API安全防護依賴(lài)API網(wǎng)關(guān)與WAF、IPS類(lèi)防護產(chǎn)品的配合，方案整合復雜并且針對性不足，在實(shí)戰當中很容易漏防或誤報，近年來(lái)逐漸被專(zhuān)用的API檢測和攻擊防護系統所替代。

　　作為專(zhuān)用的API檢測和攻擊防護方案，盛邦安全API資產(chǎn)識別及主動(dòng)防護方案為解決API安全防護問(wèn)題提供了新的思路：

　　API資產(chǎn)的暴露面很廣，但運營(yíng)者往往不清楚自己有多少API，也不確定哪些是廢棄的、測試的或是有漏洞的，單純通過(guò)人工梳理或網(wǎng)關(guān)搜集很難理清，并且無(wú)法掌握狀態(tài)變化。

　　盛邦安全API資產(chǎn)識別及主動(dòng)防護方案采用主被動(dòng)結合的學(xué)習方式，可以全面識別API資產(chǎn)，一方面通過(guò)流量學(xué)習來(lái)梳理活躍的API數據；另一方面通過(guò)主動(dòng)畫(huà)像的方式來(lái)發(fā)現暴露的API資產(chǎn)，同時(shí)記錄API的狀態(tài)變化并結合用途屬性進(jìn)行分級分類(lèi)，區分在用API、廢棄API、測試API、帶病API和未知API，最終形成動(dòng)態(tài)更新的API資產(chǎn)清單。

　　針對API的攻擊不同于傳統攻擊類(lèi)型，并且API漏洞隱藏較深，通用的檢測方法難以形成有效防護。盛邦安全API資產(chǎn)識別及主動(dòng)防護方案利用機器學(xué)習算法，構建了一套API攻擊訓練模型，通過(guò)持續積累和更新攻擊邏輯來(lái)訓練檢測引擎，形成對未知威脅的識別能力，有效防范0day漏洞的威脅。

　　相比其他類(lèi)型的資產(chǎn)而言，API資產(chǎn)訪(fǎng)問(wèn)規則較為標準，因此更容易遭受BOT攻擊，除了加強對API使用權限的鑒別和管控之外，盛邦安全API資產(chǎn)識別及主動(dòng)防護方案還利用人機識別的方法來(lái)發(fā)現各種自動(dòng)化腳本、爬蟲(chóng)工具和BOT工具，可以更準確地區分正常調用與非法爬取行為，從而抵御BOT攻擊的干擾，提升業(yè)務(wù)安全的保護能力。

　　除了部署專(zhuān)用的API檢測和攻擊防護方案之外，企業(yè)還需要強化API的數據保護，并進(jìn)行流量限制，這對于防范數據外泄、避免 API 濫用行為有著(zhù)重要意義。

　　盛邦安全將基于在安全技術(shù)方面的長(cháng)期積累與創(chuàng )新，幫助企業(yè)更好地保護 API 的安全可靠，保證業(yè)務(wù)調用與協(xié)同的安全。