Cequence威脅研究團隊發布了《2022年上半年API安全報告》（以下簡稱“《報告》”），《報告》顯示三分之一的惡意請求針對未知、未管理和未受保護的API（影子API）。

　　API 安全風險1：

　　影子 API 濫用 （OWASP API9）

　　《報告》發現影子API濫用在2022年激增，在167億惡意交易中，約有31%（即50億）針對影子API，其為2022年上半年的最大威脅。

　　API 安全風險2：

　　API 濫用正確編碼端點 （OWASP API10+）

　　《報告》顯示，該威脅排名第二，有36億個惡意請求，包括針對運動鞋或奢侈品的惡意購物 API 請求（30 億）；惡意禮品卡檢查（2.9億）；創建虛假帳戶（2.37億）；鍵業務客戶交互平臺上的垃圾評論請求（3700 萬）。

　　API 安全風險3：

　　憑證填充、影子API 和敏感數據泄露的“三位一體”

　　《報告》表示，這種API安全風險（1億）也構成了重大威脅，其利用了多個 API 安全漏洞，例如用戶身份驗證中斷（API2）、數據過度泄露（API3） 和資產管理不當（API9）。研究人員表示，這種組合證明攻擊者正在對每個API的工作原理等進行詳細分析。

　　API安全是重中之重

　　《報告》指出，API已成為業務的基石，企業應使API保護成為優先事項，并建議進行持續API風險評估以防止數據泄露、中斷身份驗證和編碼錯誤。

　　對于開發人員，應對API的安全性進行良好的構建和設計，遵守API安全開發規范進行實施。對于管理人員，應使用API管理平臺對API服務所面臨的風險進行檢測和防護。

　　永安在線長期致力于API安全的研究，其在《2022年Q2 API安全研究報告》給出了相關建議，企業除了已有的防御體系外，也需要針對性地構建API安全防護體系，其中風險情報是重要的組成部分，基于情報及早感知及時防御，從而保障企業及其用戶的數據安全。

　　針對API面臨的安全威脅，瑞數信息打造了API安全管控平臺，其包括API資產管理、攻擊防護、敏感數據管控和訪問行為管控四大模塊，為API接口提供完整的安全管控方案。

　　如今API安全已成為提供API服務的企業之間以及企業內部都需要關注的一個安全問題，一旦沒有很好的保護好提供服務的API，不僅會對用戶的使用體驗以及個人隱私帶來威脅和風險，而且可能會使企業面臨安全威脅和風險，API安全已成為重中之重。

更多信息可以來這里獲取==>>電子技術應用-AET<<