API安全发展白皮书（2023）

版权声明 本报告版权属于深圳永安在线科技有限公司、中国信息通信研究院云计算与大数据研究所，并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的，应注明“来源：深圳永安在线科技有限公司、中国信息通信研究院云计算与大数据研究所”。违反上述声明者，编者将追究其相关法律责任。 参编人员 毕裕、黄巍、吴越林、李忆晨、卫斌、郭雪、孔松 目录 一、API安全概述....................................................................................................1 （一）API已成为数字化转型的重要抓手，安全监管日趋严格........................1（二）API屡受攻击，安全治理存在众多难点....................................................3 1.攻击手段多样化.................................................................................................52.攻击途径隐蔽化.................................................................................................73.攻击场景自动化.................................................................................................8 （二）API安全挑战：API安全已成为网络安全的最大威胁之一.....................9 1.API资产缺乏可见性，或将带来无法量化的风险..........................................92.API攻击面不断变化，企业难以管理和把控................................................113.现有防护体系难以对API风险进行有效识别...............................................124.API安全治理成企业数据安全合规的必要举措............................................145.企业跨部门协同存难题，API安全全生命周期治理难实现........................15 （一）总述..............................................................................................................16（二）基于API生命周期构建安全防护模型.....................................................161.规划阶段：引入威胁建模理论.......................................................................172.开发阶段：加强安全开发建设，引入安全工具...........................................193.测试阶段：使用AST类工具进行自动化漏洞测试，提高覆盖率..............214.部署阶段：确保API的部署和配置的安全性...............................................225.运维阶段：利用工具及时感知API攻击威胁...............................................236.下线阶段：及时下线僵尸影子API................................................................25 1.Identify：构建可持续的识别能力...................................................................272.Protect：构建实时的防护能力........................................................................293.Detect：构建全面的检测能力.........................................................................304.Respond：构建高效的响应能力.....................................................................32 5.Recover：构建闭环式的修复能力..................................................................33四、API安全未来发展趋势展望..........................................................................34附录12022年全球API攻击重要事件....................................................................36附录2API安全最佳实践..........................................................................................39（一）金融行业......................................................................................................39（二）互联网行业..................................................................................................40（三）传统数字化..................................................................................................41 图目录 图1 API生命周期安全管理模型......................................................................................................17 图2 API安全闭环管理.........................................................................................................................26 图3某互联网企业业务请求量..........................................................................................................31 表目录 表1 API安全检查表及最佳实践......................................................................................................19 表2 API安全编码和开发规范...........................................................................................................20 一、API安全概述 （一）API已成为数字化转型的重要抓手，安全监管日趋严格 API指应用程序接口（ApplicationProgrammingInterface）。中华人民共和国国家标准《信息安全技术术语》（GB/T25069-2022）将其定义为“一组预先定义好的功能，开发者可通过该功能（或功能的组合）便捷地访问相关服务，而无需关注服务的设计与实现”。应用程序接口作为促进数据流通的重要技术，不仅可以帮助企业建立与客户沟通的渠道，还承担着不同复杂系统环境、组织机构之间的数据交互、传输的任务。API安全指对应用程序接口的完整性进行有效的防护。API安全通常包括接口的信息安全、数据安全以及应用安全。 API成为企业数字化转型的重要抓手。自新冠疫情以来，各企业及机构纷纷加快数字化转型的步伐。国家互联网信息办公室发布的《数字中国发展报告（2022年）》显示，2022年我国数字经济规模达50.2万亿元，数字经济成为稳增长促转型的重要引擎。随着企业将越来越多的数据和应用迁移至云端，API也正成为企业成功数字化转型的战略重点之一。IDC报告显示，到2021年，超过50%的全球2000强企业，将用API开放生态系统完成其平均1/3的数字化服务交互。开发、管理和保护API安全，将成为数字化时代下企业及机构需要重点考量的关键因素。 云计算引爆API安全危机。随着云计算、大数据、人工智能的蓬 勃发展，越来越多的应用开发深度依赖于API之间的相互调用。与此同时，随着全球云上业务快速发展，API作为系统间的通信桥梁，也正成为攻击者重点光顾的目标，其安全漏洞随着调用量增多而暴露无遗。Gartner在《如何建立有效的API安全策略》报告中预测，API滥用将成为导致企业Web应用程序数据泄露的最常见攻击媒介，到2024年，API滥用和相关数据泄露将几乎翻倍。通过攻击API来破坏信息系统和窃取数据，已成为数字时代黑产活动最集中的方向之一。 我国API相关监管逐渐清晰化，但针对不同领域的API安全攻防体系难以进行规模化落地。2021年9月1日，《中华人民共和国数据安全法》正式实施，为开展数据安全监管和保护工作提供了法律依据，对数据的有效监管实现了有法可依，并完善了网络空间安全治理的法律体系。API作为数据传输间的桥梁，应遵守相关法律进行安全监管。2020年2月13日，中国人民银行发布《商业银行应用程序接口安全管理规范》（JR/T0185—2020）金融行业标准，规定了商业银行应用程序接口的类型与安全级别、安全设计、安全部署、安全集成、安全运维、服务终止与系统下线、安全管理等安全技术与安全保障要求。我国传统产业规模庞大，数字化进程呈现行业细分的特点，不同垂直领域的安全需求差异较大。数据开放共享过程中涉及个人隐私、商业机密等数据的安全保护制度不够完善、防护技术亟待提升。现有API相关标准和API安全攻防体系难以实现规模化复制，导致数据质量规范标准、数据价值量化标准匮乏，因此发展难度也更高。 （二）API屡受攻击，安全治理存在众多难点 国际国内API遭受攻击的事件屡见不鲜，已引发广泛关注。受经济利益驱动的攻击者对各个行业的暴露API进行广泛攻击，非法窃取隐私数据，造成严重社会影响。国际方面，2023年1月19日，美国某运营商暴露的API遭到攻击，导致超三千万名用户的姓名、账单地址、电子邮件、电话号码、出生日期被泄露。2023年1月，数十家全球汽车制造商生产的车辆和车联网服务被披露存在众多API安全缺陷，攻击者可利用API漏洞非法窃取车辆行驶路线信息。2022年，美国某平台网站上超五百万账户的电话号码和电子邮件地址遭泄露，而泄露数据是通过漏洞赏金计划中