API访问流量占比持续增长,从46%提升至83%,主要受微服务、云原生技术及多渠道接入驱动。API安全面临严峻挑战,失效API(42%)和影子API(11%)是主要风险点。典型事件如淘宝(11亿用户数据泄露)、领英(7亿用户数据泄露)等,凸显API安全防护的紧迫性。
API安全治理需建立从资产发现、监测、保护到处置的闭环:自动发现API资产,识别接口样式并分组管理;监测敏感数据识别、请求参数与调用顺序;实施攻击防护与异常行为管控,包括DDoS防护、异常熔断与实时拦截。技术架构建议采用动静分离,通过API安全管控网关、Agent及镜像部署实现南北向与东西向流量防护。
关键数据:76%API攻击为爬虫,75%撞库攻击针对金融服务,80%数据泄露源于外部。某金融客户案例显示,发现API接口3128个,异常账号2705个,拦截APP异常请求4.5亿+。
研究结论:API安全需从监控向拦截升级,覆盖南北向流量并扩展至东西向。建议采用WAAP一体化防护,整合API、Web及小程序安全。安世加提供API安全管控平台,支持镜像、网关及Agent部署,实现敏感数据管控、攻击防护与风险处置。
