李禮行

[ZOL中關村在線原創(chuàng)專訪]隨著數(shù)智化演進，應用程序接口（API）已成為連接各類應用與系統(tǒng)的紐帶，其使用廣度與深度持續(xù)拓展。數(shù)據(jù)顯示，全球API流量占比已高達71%，企業(yè)平均管理的API接口數(shù)量達613個；在國內(nèi)，得益于GSMA開放網(wǎng)關及14家運營商的推動，中國不僅以94%的市場份額領跑全球網(wǎng)絡API市場，更在游戲、金融等領域加速部署按需配置的優(yōu)質(zhì)商業(yè)化API，展現(xiàn)出強勁的發(fā)展動能。

然而，API的大規(guī)模應用也伴隨著日益凸顯的安全挑戰(zhàn)。激增的接口數(shù)量、潛藏的影子與僵尸API、敏感數(shù)據(jù)明文傳輸隱患，以及隱蔽的異常訪問行為等“不可見風險”，正持續(xù)威脅企業(yè)數(shù)據(jù)安全。這意味著，API既是驅(qū)動業(yè)務增長的關鍵引擎，也可能成為破壞業(yè)務的潛在漏洞。因此，企業(yè)若想在數(shù)字化時代筑牢網(wǎng)絡安全防線，構(gòu)建完善的API安全防護體系已成為不可或缺的核心環(huán)節(jié)。

劉燁，Akamai北亞區(qū)技術(shù)總監(jiān)

那么，企業(yè)該如何構(gòu)建API安全防護體系，又該采用哪些安全策略呢？近日舉辦的2025MWC上海大會上，圍繞網(wǎng)絡API發(fā)展趨勢的討論成為業(yè)內(nèi)焦點。Akamai北亞區(qū)技術(shù)總監(jiān)劉燁結(jié)合自身在該領域的長期觀察與客戶實踐，提出了關于構(gòu)建API安全防護體系的新思路，為企業(yè)破解API安全防護難題帶來了全新思考。

網(wǎng)絡安全的又一戰(zhàn)場，為何API安全愈發(fā)重要？

API（ApplicationProgrammingInterface，應用程序編程接口）是一組規(guī)則和協(xié)議，定義了不同軟件應用或組件之間的溝通與交互方式。它如同中間件，讓開發(fā)者能訪問和使用特定功能或數(shù)據(jù)，無需深究背后的實現(xiàn)細節(jié)。隨著企業(yè)數(shù)字化轉(zhuǎn)型的推進，一項研究顯示，API數(shù)量較去年增長了82%，這也使得API安全成為未來“網(wǎng)絡安全新戰(zhàn)場”，這一論斷并非空穴來風。

Akamai新近發(fā)布的針對亞太地區(qū)的深度研究報告《2025年API安全影響研究》（以下簡稱報告）就印證了這一點。報告指出，過去一年多來，亞太地區(qū)的API攻擊呈快速增長態(tài)勢。攻擊者利用API的開放性和互聯(lián)性，通過SQL注入、跨站腳本攻擊、惡意數(shù)據(jù)請求等手段，企圖竊取敏感信息、破壞系統(tǒng)功能或癱瘓業(yè)務運營。報告還指出，85%的企業(yè)在過去12個月內(nèi)遭遇過API安全事件。其中，國內(nèi)企業(yè)的遭遇API安全事件比例為83%，而解決API安全事件的成本更是高達5,687,373元。

更值得關注的是，盡管亞太地區(qū)92%的高管表示其組織在過去一年遭遇過API安全事件，但僅有37%的受訪者確認清楚哪些API暴露了敏感數(shù)據(jù)。這表明，即便人們對API漏洞的認識在提升，整個亞太地區(qū)的高層領導和安全團隊對API安全的重視程度卻未同步跟進，進而導致了代價高昂的API攻擊頻發(fā)。中關村在線認為，各企業(yè)迫切需要就API安全在網(wǎng)絡安全優(yōu)先事項中的地位達成共識。

安全迫在眉睫，企業(yè)應該如何應對API安全？

在API安全面臨嚴峻挑戰(zhàn)的當下，企業(yè)亟需構(gòu)建全面有效的API安全策略，以此守護關鍵數(shù)據(jù)、客戶關系及內(nèi)部團隊。中關村在線認為，這一過程的首要任務，是在API安全事件的成因、影響及優(yōu)先級上形成共識。這就要求企業(yè)強化內(nèi)部溝通與培訓，著力提升高管層對API安全風險的認知深度，讓其清晰認識到API安全事件可能對企業(yè)戰(zhàn)略布局與業(yè)務運營造成的潛在沖擊。

而在完成認知層面的革新后，具體防護措施的落地同樣關鍵。Gartner分析師建議，企業(yè)可通過API的發(fā)現(xiàn)與分類實現(xiàn)有效安全防護。劉燁認為，企業(yè)應當優(yōu)先考慮構(gòu)建持久的恢復能力，包括全面清點API、定期進行測試以確保API編碼正確、實施運行時檢測以區(qū)分“正?！焙汀爱惓！盇PI活動等。具體來看，企業(yè)需系統(tǒng)性構(gòu)建API安全防護機制：

第一步是持續(xù)開展API發(fā)現(xiàn)，特別是識別出“三無API”，這些是攻擊者最容易利用的盲點；在此基礎上，需建立威脅管理系統(tǒng)，定期匯總風險、漏洞以及修復進展，幫助管理層全面掌握安全情況。即便接口在發(fā)布前已進行了充分測試，仍需部署運行時保護能力以實時攔截潛在攻擊。最后，應強化主動測試。建議企業(yè)結(jié)合OWASP和MITRE等框架開展自動化API測試，將問題前移至開發(fā)階段，從源頭上增強安全韌性。

這些防護舉措，正是應對API安全挑戰(zhàn)的抓手。當前，API已成為全球重要IT基礎設施的基石，其安全與否直接關系到企業(yè)的穩(wěn)健發(fā)展。正因如此，深入了解API安全風險、主動采用如Akamai提供的API安全解決方案這類適配的防護手段，不僅能幫助企業(yè)構(gòu)筑堅實的API安全防線、確保API安全，更對維護企業(yè)整體安全、保障業(yè)務正常運行乃至推動企業(yè)可持續(xù)發(fā)展具有至關重要的意義。

應對API安全，Akamai打造豐富的解決方案

應對API安全問題，企業(yè)不僅需深刻認識其重要性、構(gòu)建完善的API安全防護機制，更要選用適配性強的API安全解決方案。正如劉燁在演講中所坦言的，Akamai的解決方案與Gartner分析師提出的“通過發(fā)現(xiàn)和分類API實現(xiàn)有效安全防護”理念高度契合。那么，這些解決方案具體包含哪些內(nèi)容？又能為企業(yè)帶來怎樣的實際效果呢？

其中，Akamai的APP&APIProtector是一款強大的WAF解決方案，可幫助企業(yè)快速識別漏洞并抵御復雜威脅，為Web和API架構(gòu)提供全面保護。它通過兩個AI驅(qū)動的自適應安全引擎和一個行為DDoS引擎，提升檢測效率和準確性。

另一重要方案是Akamai的APISecurity，它利用AI技術(shù)自動發(fā)現(xiàn)組織內(nèi)所有在用的API，并檢測敏感數(shù)據(jù)、訪問行為及業(yè)務邏輯。該方案提供針對OWASP十大API風險的檢測和防護，幫助組織實現(xiàn)高效合規(guī)與風險管理。并且整合了Akamai于2024年收購的專業(yè)API安全公司NonameSecurity的先進技術(shù)。

“簡而言之，App&APIProtector（AAP）專注于保護Web和API環(huán)境中已知且常見的應用層漏洞，而APISecurity則致力于防御API特有的濫用行為和業(yè)務邏輯漏洞?！眲钊缡钦f。

據(jù)劉燁介紹，敦煌網(wǎng)（DHgate）通過部署Akamai的APISecurity，AppAPIProtector以及BotManager，在整個API生命周期中實現(xiàn)了API可視化與高效保護，且無需對現(xiàn)存的應用架構(gòu)進行重大修改。

寫在最后

隨著全球企業(yè)數(shù)字化轉(zhuǎn)型的進一步推進以及各行業(yè)對高效數(shù)據(jù)管理和系統(tǒng)集成需求的增加，應用程序接口（API）將迎來進一步爆發(fā)，其安全性將得到進一步重視，對于企業(yè)而言，進一步加強API安全防護也變得尤為重要，采用API安全防護策略也將為企業(yè)務的健康運行提供必要的保障。

面向未來，隨著技術(shù)手段的持續(xù)進步、企業(yè)API安全意識的不斷提升，以及以Akamai為代表的企業(yè)在API安全領域的深耕研發(fā)與投入，企業(yè)API安全防護將得到進一步加強與完善，為企業(yè)的數(shù)字化轉(zhuǎn)型和創(chuàng)新發(fā)展筑牢堅實可靠的保障基石。

《權(quán)門貴嫁》中讓人心水的橋段,是真愛無疑了!

《權(quán)門貴嫁》中直戳人心的情節(jié),看完化身檸檬精

《權(quán)門貴嫁》只為一句“等我”,便癡癡守望,是癡情,還是傻?