API安全发展白皮书（2023）-CAICT.pdfVIP

目录

一、API安全概述1

（一）API已成为数字化转型的重要抓手，安全监管日趋严格1

（二）API屡受攻击，安全治理存在众多难点3

二、API爆发式增长催生新的安全挑战5

（一）API攻击趋势：新型攻击手段频现且难以防范5

1.攻击手段多样化5

2.攻击途径隐蔽化7

3.攻击场景自动化8

（二）API安全挑战：API安全已成为网络安全的最大威胁之一9

1.API资产缺乏可见性，或将带来无法量化的风险9

2.API攻击面不断变化，企业难以管理和把控11

3.现有防护体系难以对API风险进行有效识别12

4.API安全治理成企业数据安全合规的必要举措14

5.企业跨部门协同存难题，API安全全生命周期治理难实现15

三、API安全防护体系建设思路16

（一）总述16

（二）基于API生命周期构建安全防护模型16

1.规划阶段：引入威胁建模理论17

2.开发阶段：加强安全开发建设，引入安全工具19

3.测试阶段：使用AST类工具进行自动化漏洞测试，提高覆盖率21

4.部署阶段：确保API的部署和配置的安全性22

5.运维阶段：利用工具及时感知API攻击威胁23

6.下线阶段：及时下线僵尸影子API25

（三）API安全闭环管理要求和建议26

1.Identify：构建可持续的识别能力27

2.Protect：构建实时的防护能力29

3.Detect：构建全面的检测能力30

4.Respond：构建高效的响应能力32

5.Recover：构建闭环式的修复能力33

四、API安全未来发展趋势展望34

附录12022年全球API攻击重要事件36

附录2API安全最佳实践39

（一）金融行业39

（二）互联网行业40

（三）传统数字化41

图目录

图1API生命周期安全管理模型17

图2API安全闭环管理26

图3某互联网企业业务请求量31

表目录

表1API安全检查表及最佳实践19

表2API安全编码和开发规范20

API安全发展白皮书（2023）

一、API安全概述

（一）API已成为数字化转型的重要抓手，安全监管日

趋严格

API指应用程序接口（ApplicationProgrammingInterface）。中华

人民共和国国家标准《信息安全技术术语》（GB/T25069-2022）将其

定义为“一组预先定义好的功能，开发者可通过该功能（或功能的组

合）便捷地访问相关服务，而无需关注服务的设计与实现”。应用程

序接口作为促进数据流通的重要技术，不仅可以帮助企业建立与客户

沟通的渠道，还承担着不同复杂系统环境、组织机构之间的数据交互、

传输的任务。API安全指对应用程序接口的完整性进行有效的防护。

API安全通常包括接口的信息安全、数据安全以及应用安全。

API成为企业数字化转型的重要抓手。自新冠疫情以来，各企业

及机构纷纷加快数字化转型的步伐。国家互联网信息办公室发布的

《数字中国发展报告（2022年）》显示，2022年我国数字经济规模

达50.2万亿元，数字经济成为稳增长促转型的重要引擎。随着企业

将越来越多的数据和应用迁移至云端，API也正成为企业成功数字化

转型的战略重点之一。IDC报告显示，到2021年，超过50%的全球

2000强企业，将用API开放生态系统完成其平均1/3的数字化服务交

互。开发、管理和保护API安全，将成为数字化时代下企业及机构需

要重点考量的关键因素。

云计算引爆API安全危机。随着云计算、大数据、人工智能的蓬

1

API安全发展白皮书（2023）

勃发展，越来越多的应用