API 安全应该怎么做？

弄清了 API 安全为什么难搞，就能对症下药，破解企业的 API 安全难题。

首先，要摸清企业的 API 资产现状，弄清企业有多少个 API、有哪些类型的 API，这些 API 的 IP 是什么、功能是什么，哪些 API 在使用、哪些 API 已停用。摸清这些之后，就能建立 API 资产管理体系，更好的管理 API。

面对海量的 API，单凭人工无法完成这项工作，效率更高的 AI 是企业唯一的选择。

其次，要监测 API 现有的安全漏洞，并持续发现新出现的 API 漏洞。针对现有漏洞，要给出修补方案；针对未知漏洞，要持续更新漏洞库，保证对新型漏洞的检出能力。

再次，能够检测针对 API 的攻击。企业不但需要防范已知攻击，还要及时对新型攻击做出响应，这要求 API 安全产品不但要具备丰富的威胁模型，还要具备应对未知风险的能力。

最后，准确识别通过 API 传输的敏感数据，对数据进行脱敏、加密处理。一旦发现风险事件，实时阻断数据主路，避免敏感数据被窃取。

总的来说，面对类型超过 350 种、数量难以统计的 API，企业一键三连远远不够，一键四连才能满足基本需求。