从安全漏洞的温床到数字化转型的强劲加速器，企业如何重塑API安全

从安全漏洞的从安温床到数字化转型的强劲加速器，企业如何重塑API安全 2024年10月28日 09:58 飞象网 新浪财经APP 缩小字体 放大字体 收藏 微博 微信 分享 腾讯QQ QQ空间

网上购物平台PandaBuy超过130万客户的全漏企业数据被泄露。据称该起事件是洞的到数的强两名黑客利用多个漏洞入侵系统后造成的。PandaBuy允许国际用户从中国的温床各种电子商务平台购买产品，包括天猫、字化转型淘宝和京东。劲加一个名叫“Sanggiero”的速器塑威胁者声称与另一名叫“IntelBoker”的威胁者一起入侵了PandBuy。而据威胁参与者表示，何重他们是安全通过利用平台API中的几个关键漏洞来窃取数据的。

随着互联网的从安发展和演进，各种技术应运而生。全漏企业微服务架构的洞的到数的强采用，开发过程对于创新和敏捷性的温床要求，开放的字化转型生态对于接口开放的需求、以及AI中大预言模型（LLM）对于API调用的劲加依赖，都促成了API的广泛的采用和高速的发展。 API流量已经统治了互联网，近30%的互联网流量为API的流量。

API流量承载着企业重要的、甚至是敏感的数据，已经成为了企业重要的资产。也正因为如此，API也成为了黑客攻击的主要目标。据统计，互联网的攻击中，有31%的攻击目标都是企业的API资产，有78%的企业在过去的12个月中都受到过API的攻击。许多基于API攻击导致的数据流失、系统不可用，使得企业对于API安全愈加重视，很多安全标准化组织、行业安全标准也都把API安全的检测和防护纳入到标准中，也使得企业对于API的安全建设有据可依。

API的安全建设和防护已经是企业安全架构中最重要的一环，API作为流动的数据，是企业最需要保护的资产之一。

API安全现状概览

Akamai 的《2024 年互联网 API 威胁状况报告》显示，2023年全年，针对API的网络攻击占比高达29%，凸显了API已成为网络犯罪分子的重点攻击对象。尤为值得关注的是，业务逻辑滥用问题日益凸显，因缺乏明确的API行为基线，异常活动难以被及时察觉。此外，根据Gartner研究：《API保护市场指南》，API漏洞导致的数据泄露规模远超一般安全漏洞。

从数据层面来看，Akamai的SOTI报告《数字堡垒被围攻：现代应用程序架构面临的威胁》也揭示了一个更为惊人的事实：从2023年第一季度至2024年第一季度，全球范围内针对应用程序和API的攻击数量激增了49%，而在亚太地区，这一数字更是攀升至65%。在短短一年半的时间内，全球范围内记录的API攻击次数竟高达1080亿次。