首届API安全管理论坛成功举办，聚焦API安全共话最佳实践

12月3日，由永安在线主办的首届API安全管理论坛在深圳成功举办众多安全领域技术专家以及企业信息安全决策与实践者齐聚一堂，围绕数字化时代下API面临的挑战及如何进行API安全管理进行了分享与探讨，论坛现场座无虚席，精彩观点不断。

对API的保护本质上就是对数据安全的保护

API 在现代应用程序架构中发挥着非常重要的作用，当创新发展和安全意识发展的不同步发生时，带来的安全风险将加大，目前API面临的十大关键安全风险是哪些？在论坛伊始，OWASP中国广东区域负责人肖文棣以OWASP API Top 10作为基础，结合案例详细解读十大API安全风险。

他表示，无论线上购物还是进行银行交易都离不开对API的访问和控制，对API的保护实质上就是对数据安全的保护，这是企业必选题。OWASP API Top 10是通过可利用性、弱点普遍性、弱点可检测性、技术影响、业务影响等指标来进行风险评级评出，企业应当针对这些API关键风险进行逐一解决，特别是关注API业务逻辑缺陷和过度数据暴露，在现场，他为参会者分享了预防策略。

（OWASP中国广东区域负责人 肖文棣）

API安全应该独立于Web安全之外

Web API本身是一个cgi，API安全一直以来都是Web安全中的一类，为什么最近几年偏偏把API安全单独拿出来讨论？API面临哪些安全挑战？该如何来做好防御？腾讯技术工程事业群安全专家胡珀就以《新的安全威胁：API安全的挑战及应对策略》为主题进行了分享。

他提出，目前企业都拥有大量的API，很多数据安全事件也因为API滥用所致，这是API单独拿出来讨论的直接原因。而API安全形势之所以严峻，主要源于四个原因：外部黑客紧盯、能力沉淀不足、支撑功能未跟上、自身安全机制考虑欠缺。这些除了自身安全意识的提高之外，也更需要针对性的管理工具来辅助。

（腾讯技术工程事业群安全专家 胡珀） 

API安全场景下数据安全的管理难点在哪？

在云原生背景下，微服务架构的API治理与数据安全的保障密切相关，将如何进行应用安全保障？乐信集团信息安全中心总监刘志诚以《API安全解决数据安全问题实践》为主题进行了分享。

他认为，数据安全疑点主要在三个方面：一是分级分类如何应用，二是数据脱敏的When和Where，三是API访问数据的Who和How。目前大量API的分级分类管理存在困难，因此涉敏数据的暴露不断发生。作为企业安全的设计者、建设者和管理者，解决数据安全问题的首要就是对API的清晰梳理，才能对涉敏数据的分级分类管理，解决数据安全问题。

（乐信集团信息安全中心总监 刘志诚）

API因承载数据和业务逻辑，已成为了新的攻防面

API因承载数据和业务逻辑，成为了新的攻防面，并且攻击能够隐藏在符合逻辑的合法访问请求中，目前常用的安全工具能否解决这些API安全管理问题？更有效的技术路径又是哪些？永安在线COO邵付东以《API安全管理的更优解：以情报建立API安全基线》为主题对这些问题进行了分析和分享，并发布以永安在线核心技术优势——行业领先的【情报】打造的产品：API安全管控平台。

（永安在线COO 邵付东）

随着企业在整个研发过程中越来越强调敏捷开发和（CI/CD）集成部署，导致整个业务研发节奏加快，很多企业对API的管控处于失控状态，出现了接口未知、攻击未知、阻断未知的挑战。

邵付东表示，在面对业务快速发展，API快速更迭，攻击流量隐藏在正常的业务流量当中并且更多利用API业务逻辑漏洞进行攻击的现状，市面现有通过WAF和API网关来进行API安全管理的方式存在明显不足。例如不是所有的API流量都会经过WAF，尤其是东西向流量，并且它根据每条流量及时做出判断，无法解决API逻辑攻击；另外，不是所有的API都会到网关注册，业务会存在大量影子API，而且授权和限频等方法无法解决黑产利用海量小号、秒拨代理IP进行的低频攻击。从而导致大量的误判、漏判。接口未知、攻击未知、阻断未知的状态无法很好解决。