API安全发展白皮书（2023）

版权声明 本报告版权属于深圳永安在线科技有限公司、中国信息通信研究院云计算与大数据研究所，并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的，应注明“来源：深圳永安在线科技有限公司、中国信息通信研究院云计算与大数据研究所”。违反上述声明者，编者将追究其相关法律责任。 参编人员 毕裕、黄巍、吴越林、李忆晨、卫斌、郭雪、孔松 目录 一、API安全概述1 （一）API已成为数字化转型的重要抓手，安全监管日趋严格1 （二）API屡受攻击，安全治理存在众多难点3 二、API爆发式增长催生新的安全挑战5 （一）API攻击趋势：新型攻击手段频现且难以防范5 1.攻击手段多样化5 2.攻击途径隐蔽化7 3.攻击场景自动化8 （二）API安全挑战：API安全已成为网络安全的最大威胁之一9 1.API资产缺乏可见性，或将带来无法量化的风险9 2.API攻击面不断变化，企业难以管理和把控11 3.现有防护体系难以对API风险进行有效识别12 4.API安全治理成企业数据安全合规的必要举措14 5.企业跨部门协同存难题，API安全全生命周期治理难实现15 三、API安全防护体系建设思路16 （一）总述16 （二）基于API生命周期构建安全防护模型16 1.规划阶段：引入威胁建模理论17 2.开发阶段：加强安全开发建设，引入安全工具19 3.测试阶段：使用AST类工具进行自动化漏洞测试，提高覆盖率21 4.部署阶段：确保API的部署和配置的安全性22 5.运维阶段：利用工具及时感知API攻击威胁23 6.下线阶段：及时下线僵尸影子API25 （三）API安全闭环管理要求和建议26 1.Identify：构建可持续的识别能力27 2.Protect：构建实时的防护能力29 3.Detect：构建全面的检测能力30 4.Respond：构建高效的响应能力32 5.Recover：构建闭环式的修复能力33 四、API安全未来发展趋势展望34 附录12022年全球API攻击重要事件36 附录2API安全最佳实践39 （一）金融行业39 （二）互联网行业40 （三）传统数字化41 图1API生命周期安全管理模型17 图2API安全闭环管理26 图3某互联网企业业务请求量31 表1API安全检查表及最佳实践19 表2API安全编码和开发规范20 一、API安全概述 （一）API已成为数字化转型的重要抓手，安全监管日趋严格 API指应用程序接口（ApplicationProgrammingInterface）。中华人民共和国国家标准《信息安全技术术语》（GB/T25069-2022）将其定义为“一组预先定义好的功能，开发者可通过该功能（或功能的组合）便捷地访问相关服务，而无需关注服务的设计与实现”。应用程序接口作为促进数据流通的重要技术，不仅可以帮助企业建立与客户沟通的渠道，还承担着不同复杂系统环境、组织机构之间的数据交互、传输的任务。API安全指对应用程序接口的完整性进行有效的防护。API安全通常包括接口的信息安全、数据安全以及应用安全。 API成为企业数字化转型的重要抓手。自新冠疫情以来，各企业及机构纷纷加快数字化转型的步伐。国家互联网信息办公室发布的 《数字中国发展报告（2022年）》显示，2022年我国数字经济规模达50.2万亿元，数字经济成为稳增长促转型的重要引擎。随着企业将越来越多的数据和应用迁移至云端，API也正成为企业成功数字化转型的战略重点之一。IDC报告显示，到2021年，超过50%的全球2000强企业，将用API开放生态系统完成其平均1/3的数字化服务交互。开发、管理和保护API安全，将成为数字化时代下企业及机构需要重点考量的关键因素。 云计算引爆API安全危机。随着云计算、大数据、人工智能的蓬 勃发展，越来越多的应用开发深度依赖于API之间的相互调用。与此同时，随着全球云上业务快速发展，API作为系统间的通信桥梁，也正成为攻击者重点光顾的目标，其安全漏洞随着调用量增多而暴露无遗。Gartner在《如何建立有效的API安全策略》报告中预测，API滥用将成为导致企业Web应用程序数据泄露的最常见攻击媒介，到2024年，API滥用和相关数据泄露将几乎翻倍。通过攻击API来破坏信息系统和窃取数据，已成为数字时代黑产活动最集中的方向之一。 我国API相关监管逐渐清晰化，但针对不同领域的API安全攻防体系难以进行规模化落地。2021年9月1日，《中华人民共和国数据安全法》正式实施，为开展数据安全监管和保护工作提供了法律依据，对数据的有效监管实现了有法可依，并完善了网络空间安全治理的法律体系。API作为数据传输间的桥梁，应遵守相关法律进行安全监管。2020年2月13日，中国人民银行发布《商业银行应用程序接口安全管理规范》（JR/T0185—2020）金融行业标准，规定了商业银行应用程序接口的类型与安全级别、安全设计、安全部署、安全集成、安全运维、服务终止与系统下线、安全管理等安全技术与安全保障要求。我国传统产业规模庞大，数字化进程呈现行业细分的特点，不同垂直领域的安全需求差异较大。数据开放共享过程中涉及个人隐私、商业机密等数据的安全保护制度不够完善、防护技术亟待提升。现有API相关标准和API安全攻防体系难以实现规模化复制，导致数据质量规范标准、数据价值量化标准匮乏，因此发展难度也更高。 （二）API屡受攻击，安全治理存在众多难点 国际国内API遭受攻击的事件屡见不鲜，已引发广泛关注。受经济利益驱动的攻击者对各个行业的暴露API进行广泛攻击，非法窃取隐私数据，造成严重社会影响。国际方面，2023年1月19日，美国某运营商暴露的API遭到攻击，导致超三千万名用户的姓名、账单地址、电子邮件、电话号码、出生日期被泄露。2023年1月，数十家全球汽车制造商生产的车辆和车联网服务被披露存在众多API安全缺陷，攻击者可利用API漏洞非法窃取车辆行驶路线信息。2022年，美国某平台网站上超五百万账户的电话号码和电子邮件地址遭泄露，而泄露数据是通过漏洞赏金计划中披露的API漏洞收集的。国内方面，2020年，某社交平台API遭到爬虫攻击，导致超5亿用户信息在暗网出售。2020年11月，某企业被曝出有内部人员有偿租借员工账号，导致数十万条公民个人信息被泄露事件。被泄露的信息中包括地址、姓名、电话等信息。2021年，某企业的API遭到爬虫攻击，涉及用户账号、昵称、手机号、商品等超亿条信息。 新型API攻击手段频现，攻击手段呈多样化、隐蔽化发展。随着API访问环境的愈发开放、API数量的极速攀升，攻击者正开发出更多更先进的攻击工具和方法对暴露在外的API加以利用，早期防护技术已经无法满足现有安全问题的防护需求。新型API攻击主要呈现两个趋势。第一是攻击手段多样化。面对受害者的防御策略，攻击者会同时采用多种攻击方法，形成“地毯式轰炸攻击”模式。针对API的 新型安全威胁包括注入攻击、内容篡改、参数篡改等。在新型攻击手段下，传统API安全网关提供的身份认证、权限管控、速率限制、请求内容校验等安全机制逐渐失灵。第二是攻击途径隐蔽化。合法应用程序所使用的加密通道、端口和协议也为攻击者提供了掩盖其足迹的方法。对于安全专业人员而言，从经由API接口传入和传出的众多HTTPS请求中拦截、筛选和分析可疑流量则变得更加麻烦。 API安全治理存在多个难点，传统API体系问题日趋明显。为了适应数字化进程的快速发展，政府、企业都会开放大量的API，由此造成的数据安全风险敞口，传统的API安全体系并不能完全应对解决。传统API安全体系主要存在四大问题。第一是API资产难以进行全面梳理。API资产盘点仍然停留在主机、服务、端口维度，无法清晰盘点所有API接口，以及可以输出敏感数据的API接口。第二是难以针对API接口进行全面的脆弱性评估。API资产数量庞大且其业务相关性强、迭代速度快，安全运营人员难以对API遗留的安全漏洞进行安全性评估。第三是针对API接口的威胁检测机制不完善。当前普遍缺乏对API的细粒度检测，只能基于已知特征的API、勒索软件、木马、病毒进行威胁监测，无法实时发现数据泄露以及针对API接口特征的攻击。第四是发生API攻击事件后的事后追溯难。企业针对API的日志管理普遍存在分散存储、日志记录不全、格式不规范等问题，一旦发生网络故障或安全事件时，无法在短时间内定位责任人和泄露路径。 二、API爆发式增长催生新的安全挑战 （一）API攻击趋势：新型攻击手段频现且难以防范 数字化时代与线上化趋势下，API作为连接不同应用和系统的桥梁，正迅速成为现代企业的核心组件。API的爆发式增长在为企业提供了更强大、灵活的数据交换和功能扩展能力、创造更多商业机会的同时，也带来了新的安全挑战。API接口数量的暴增与其安全发展的不匹配，使其成为恶意攻击的首选目标，API安全问题受到广泛关注。 1.攻击手段多样化 API是企业数字化转型的关键组成部分，攻击者可以利用各种不同的手段攻击API并窃取敏感数据或者干扰企业的业务流程。常见的API攻击手段包括但不限于： 1.1拒绝服务攻击（DenialofService，DoS）。攻击者通过发送大量占用计算资源的请求，例如大文件下载、高负荷的搜索请求等，使得API服务器无法分辨并响应合法请求，从而导致API服务器资源耗尽，服务不可用。 1.2注入漏洞利用攻击。攻击者通过在API请求中注入恶意代码，以获取未授权的数据或执行未授权的操作。例如，攻击者通过在API请求中注入SQL注入代码的方式，获取数据库中的敏感信息。 1.3未授权漏洞利用攻击。系统对用户的访问控制无限制，攻击者可直接获取未授权的数据或执行未授权的操作。例如，攻击者可在API请求中使用未经过授权的密钥进行API调用，从而获取或修改数 据，导致信息泄露，甚至破坏系统功能。 1.4安全配置漏洞利用攻击。攻击者通过发现API服务器未正确配置安全措施，利用错误配置发起漏洞攻击。例如，攻击者可以通过访问API服务器的管理接口修改API的安全配置，以绕过安全措施获取敏感数据。 1.5越权访问漏洞利用攻击。系统对用户的访问控制限制不正确，攻击者可直接获取超出授权的数据或执行超出授权的操作。越权访问包括水平越权攻击和垂直越权攻击两种形式。水平越权攻击是指攻击者通过利用API的漏洞，获取其他用户或角色拥有的权限范围。垂直越权攻击是指攻击者通过利用API的漏洞，获取比其本身权限更高的权限。例如，攻击者可能会通过利用该API漏洞，通过普通用户的凭证来执行管理员级别的操作。 1.6参数遍历攻击。攻击者通过修改API请求参数来遍历API中的文件或目录，获取未授权的数据或执行未授权的操作。例如，攻击者可通过修改API请求参数，对API的敏感数据或服务器上的文件进行非法访问。 1.7明文传输利用攻击。攻击者通过截获API请求，以获取未加密的敏感信息。 1.8代码设计漏洞攻击。攻击者利用目标API中的代码设计漏洞进行攻击。这些漏洞通常是由于编码或设计错误而导致的，可能涉及不安全的数据处理、缓冲区溢出、格式字符串漏洞、逻辑错误、错误 处理等。例如，某些API可能会设计特定数据类型的处理方式，这可能引发攻击者利用该设计漏洞构造特定类型的恶意数据，从而导致API崩溃或执行恶意代码。 1.9第三方组件漏洞利用攻击。许多应用程序和系统都使用第三方组件，例如开源库、框架和插件，以便快速构建和部署应用程序。此类组件通常由其他开发者编写和维护，在开发过程中可能存在开放性的安全漏洞。攻击者可以利用安全漏洞进行API攻击。例如，攻击者可以利用已知的第三方组件漏洞，绕过API的安全措施并获取系统权限。这种攻击可能会导致数据泄露、拒绝服务等安全问题。 2.攻击途径隐蔽化 为了规避现有安全防护设备的检测，提高攻击成功率，越来越多的攻击者会采用如下方式来隐蔽其攻击途径： 2.1使用代理服务器。攻击者使用代理服务器隐藏真实IP地址和其他攻击特征（如攻击次数、攻击频率）。这