API 安全问题的原因及挑战

从 API 的发展过程可以了解到，API 安全问题一直伴随着 API 技术的发展在不断变化。可以用一句话来概括 API 安全的定义：API 安全是从安全的角度关注 API 领域的安全问题和这些问题的解决方案，从技术和管理两个层面提高 API 自身和 API 周边生态的安全性。那么，到底导致 API 安全问题发生的原因有哪些呢？

1. 企业 API 安全意识不足

从攻击视角来看，当越来越多的企业使用 API 对外部开放其业务能力，意图共建生态时，这种新型的攻击面是充满诱惑和不可舍弃的蛋糕。面对众多开放的 API，恶意攻击者往往通过并不复杂的恶意行为，即可给企业造成重大的危害。发生过安全事件的企业因为造成损失会增加对 API 的重视度，但未遭受影响的企业，仍缺乏对 API 的关注。在 API 测试环节，很多团队要么不知道 API 漏洞，要么直接忽略了 API 安全测试；而在 API 服务发布后，API 提供者、API 赞助商以及第三方 API 使用厂商也在此领域缺少精力投入。这些情况导致 API 生态中各相关利益方（如 API 提供者、API 赞助商、第三方 API 使用厂商等）责任不清、监督失效，API 安全处于无人管理的状态。

2. 技术革新导致 API 安全风险增加

由于云计算的快速发展，越来越多的企业将应用和数据迁移至云端，并暴露核心业务能力和流程相关的 API 为外部合作伙伴提供服务。脱离了传统的内网或网络区域划分，云上应用的开发和集成、云端管理 API，被潜在的商业合作伙伴及攻击者使用，无形中使得 API 安全风险增大。而大多数企业，没有人能完全掌握系统全部 API，开发人员往往也只是熟悉自己开发的相关模块，且很多技术开发人员认为采纳新的、酷的技术更重要，在技术路线上选择新的特性，忽视 API 是否被攻击。在这种缺少 API 安全性管理平台又未建立全面系统的 API 安全管理体系的情况下，API 安全风险更不可控。

3. API 自身安全机制不足

企业将数据和能力通过 API 对外开放获取商机和便利的同时，也为攻击者攻击提供了通道。为了达到目的，攻击者通过多种手段渗透 API，比如流量型的 DDoS 攻击、CC 攻击；绕过身份鉴别或授权，非法获取数据；逆向破解 API 客户端应用后，非法调用 API 服务。而因 API 服务提供方、API 开发团队、第三方合作伙伴等多方面原因，API 自身的安全机制存在缺陷，比如缺少身份鉴别或授权访问控制、缺少对敏感数据的加密保护或异常检测手段、缺少对 API 资产的生命周期管理，导致很多低版本的影子 API。在这些情况下，攻防对抗中 API 自身安全能力不足将成为短板，无法应对攻击者发起的恶意行为，反而易成为突破口。

API 安全事件频发，其外因是存在恶意攻击行为。而作为使用 API 的企业，在 API 生态中把 API 当成基础设施的一部分，却缺少清晰的 API 保护方针和策略，无法提供高质量的 API 安全服务能力，也是导致 API 安全事件的原因。了解了这些原因，若想彻底解决 API 安全问题，仍需要面临多方面的挑战。

1. API 广泛使用带来攻击面扩大的挑战

API 技术的产生是为了解决不同组件或模块之间的标准化通信交互问题，随着互联网上业务种类的不断增加，出现了以 API 为中心的 API 经济生态。在这个生态系统内，API 能力提供者作为平台能力支撑方和运营者，通过 API 的形式对外开放业务能力，吸引第三方厂商或合作伙伴加入此生态系统。开放的业务能力越多，API 暴露的攻击面就越大；参与生态构建的第三方厂商越大，API 使用范围越广泛，API 暴露的攻击面也就越大。从企业运营者的角度来说，是期望更多的第三方厂商加入生态构建，从风险暴露的角度来说，越收敛则攻击面越小。在这种业务期望快速发展，安全诉求越来越高的背景下，想解决 API 安全问题，必须综合管理和技术手段，从网络治理、服务治理、API 治理、IT 治理等角度去寻找业务发展和安全保障的最佳平衡点，尤其是对平台型企业来说，如果内部 IT 治理水平较低，将面临巨大的挑战。

2. API 安全实践经验缺失的挑战

对于使用 API 技术的企业来说，使用某项技术是为了解决某些问题，以期望得到更高效的业务能力，但因技术人员对使用某项技术带来安全风险往往理解不够深刻。尤其是在当前互联网业务竞争十分激烈，版本更新迭代非常频繁的情况下，应付 API 功能的开发已经很疲惫，加上团队内部或企业内部缺少安全经验丰富的人员来对研发过程进行监督或指导，导致开发出来的 API 存在安全缺陷。而企业缺少 API 开发过程中的相关工具、平台以及保障机制，更无法从组织层面指导 API 安全实践的开展。

3. 外部环境变化带来的合规性挑战

近几年，随着国家层面网络空间治理的不断深入，满足合规性要求成为每一个企业正常业务开展的必要条件。在我国，国家标准和行业标准层面，对 API 使用提出了多方面的安全要求。比如在关于个人信息安全的国家推荐性标准 GB/T 35273-2020《信息安全技术 个人信息安全规范》中，对于使用 API 收集个人敏感信息且未单独向个人信息主体征得收集、使用个人信息的授权同意时有如下要求。

当个人信息控制者与第三方为共同个人信息控制者时（例如，服务平台与平台上的签约商家），个人信息控制者应通过合同等形式与第三方共同确定应满足的个人信息安全要求，以及在个人信息安全方面自身和第三方应分别承担的责任和义务，并向个人信息主体明确告知。

在规范中，要求 API 服务提供者在涉及个人信息收集时，需要征得用户同意并明确确认授权的情况下才可以进行信息采集。而作为被第三方集成的 API 服务提供方，如果涉及个人信息收集时，需要双方约定分别承担的责任和义务，并明确告知用户。除了此规范外，金融行业标准 JR/T 0185-2020《商业银行应用程序接口安全管理规范》中，更是从 API 类型与安全设计、开发、部署、集成、运维等生命周期角度，对 API 的管理提出多方面的合规性要求。

这些标准或规范为企业的 API 安全实践提供方向性指引，同时也为 API 的合规提供可落地标准。企业完成了此类合规的挑战，才能更好地开展业务。