迄今为止，API已从相对简单的系统间通信方法发展成为广泛应用的互联网技术。相比DDoS攻击和勒索软件，针对API攻击的检测力度远远不够。

为守护数字化时代的信息安全，Akamai携手Veracode合作发布了《API：与每个人息息相关的攻击》安全报告，分享应对API攻击的一些见解。

攻击覆盖面扩张多行业面临API风险

Gartner数据显示：“2021年，90%的Web应用程序因API而非UI导致攻击面增大，这一数字远远高于2019年40%的占比。”[LX1]面对高频API攻击，OWASP发布了API十大安全漏洞。当下，API面临着基于Web的应用程序多年来一直在应对的同类问题。

API出众的通用性，便于企业和用户轻松访问，但有时候也会造成失控。《Twitter API安全性披露》显示，该社交平台应用API的初衷是方便用户寻找通讯录里的好友，但恶意攻击者却利用API链接大量虚假帐户。

Akamai报告显示，API服务商同样被网络攻击者所“盯梢”，Twilio便是其中一家。Akamai设置的蜜罐陷阱，曾观察到直接针对“twilio.env”文件的扫描活动，攻击者一旦找到SID和身份验证令牌，随后便可以盗取帐户，转售给潜在买家。

如图所示：一名恶意攻击者打算购买Twilio访问凭据

并且高度关注启用了自动充值的帐户

在医疗保健行业，保证API安全性同样是一大挑战。该行业普遍重视API集成和数据访问的应用，但部署基础越大，防御就越困难。因为API很容易遭到受损对象级授权(BOLA)漏洞的攻击。这使得医患的个人身份信息(PII)和受保护的医疗保健信息(PHI)面临潜在风险。

应用程序和API漏洞频出原因何在

事实上，API风险飙升与企业开发追赶项目进度高度相关。Enterprise Strategy Group(ESG)去年代表Veracode进行了一项调查，结果显示：48%的受访企业承认时常会推送易受攻击的代码。其中54%的企业表示推送易受攻击的代码是为了“赶上关键的发布期限”，并计划在后续版本中进行修复。

当然，先上产品，后加补丁并不意味着完全忽略安全性。这不过是为了防止影响业务或用户体验而分出轻重缓急的分类处理方式。此外，对开源代码的依赖，也是造成安全隐患的成因。ESG调查显示，仅有48%受访企业，表示正在利用工具来监控相关开源项目的健康状况。

鉴于如今大部分在线流量均基于API，Akamai观察到的Web攻击几乎毫无意外地都是针对拥有面向公众的应用程序和服务的企业。Akamai分析Veracode共享的数据后发现，所测试的许多Spring Boot应用程序都很容易受到SQLi和XSS攻击，Web应用程序和API的攻击存在大量重叠。

如图所示：SQLi仍然是主要的Web攻击媒介

攻击者企图利用应用程序和API来访问敏感或受保护的信息

加持API安全性多维深度防护

若想确保应用程序安全与开发进度，企业需要平衡各种特性、功能和业务需求。对此，开发团队在应用程序开发和API部署方面，进行持续培训才能满足安全性方面的期望。为此，Akamai与多位专家进行交谈，梳理出了以下防御策略：

应对API安全隐患，Akamai基于自身多年数字化安全防护经验，打造应用程序和API保护解决方案，可通过App&API Protector,Edge DNS,Managed Security Service等技术服务，对企业应用API进行一站式加固防护，并实现全方位安全管理、监测和抵御，助力全行业客户提升API安全防护水准。

当前，API使用量和相关攻击数量依然呈指数级增长。