API加速了企业的数字化转型，其控制软件的交互方式，并在 Web、物联网（IoT）、移动和 SaaS 应用程序中联通软件，另外，API链接内部系统，与其他业务联系密切，并能够促进与合作厂商的共同创新。API作为连接数据与应用的重要通道，成为了数据安全建设中不容忽视的环节。

　　影子API 风险日益增加

　　企业会使用数百甚至数千个API，但其中许多API是IT团队所不知道也不了解的。此外，开发人员也可能忘记停用旧版或撤下已被替换的“僵尸”接口。这些影子API 会显著增加企业的风险，2019年，OWASP发布了API 安全中前十名的漏洞，包括对象级授权中断、用户身份验证中断和数据暴露过多等，随着影子 API的扩展，这些威胁向量将呈指数级增长。

　　Gartner预测到2022年， API攻击将成为最常见的攻击媒介，这会导致企业Web应用程序的数据泄露。

　　需要影子API安全解决方案

　　企业通过使用软件即服务（SaaS）平台创建在线目录以高效地发现和管理 API。在线工具支持实时发现并提供元数据，并显示API 在上下文中的工作方式。具有联机目录的团队可以看到所有 API 的业务逻辑，以及流入流出API 的敏感数据。这些重要信息使 IT 和安全团队能够实施有效的安全控制和检测签名。如果他们检测到 API 行为发生变化，这表明存在误用或攻击，IT 和安全专家可以迅速采取行动进行补救或停用。

　　创建API 安全文化

　　由于企业的数字化业务在不停增长，开发人员不断创建和应用新的代码。相关报告显示，尽管大多数开发人员认为他们的应用程序是安全可靠的，但仍然存在许多易受攻击的代码。，其主要原因包括：

　　01 开发人员面临着“截止日期”的交付压力。

　　02 漏洞风险低。

　　03 在软件开发生命周期中发现漏洞太晚。

　　专家表示，使用在线目录有助于创建DevSecOps文化。在该文化中，安全性是预先考虑的，开发人员可以使用联机目录跨外部 API、内部 API 和微服务自动对单个应用程序的请求进行分布式跟踪。

　　IT 和安全团队可以通过协作来加强应用程序和 API 的安全性，并借助自动化流程以及整体和细粒度视图，可以进行更深入的分析、做出合理的安全决策以及主动修复漏洞。

　　增强智能化以提供更好的 API 保护

　　数字化的快速发展意味着随着时间的推移，企业将使用更多的API。应用程序和服务将变得更加互联。专家表示采用零信任安全模型和发展DevSecOps是理想的选择。

　　另外，使用在线目录公开 API 生态系统可提供有价值的信息，相关团队能够发现和管理所有 API，从而控制影子API，团队也可以分析每个 API 的业务风险和潜在数据泄露，并确定修正工作的优先级。这样，IT和安全团队就可以追溯最终用户的使用情况，确定API是否受到对手的攻击以及其所在的位置。

更多信息可以来这里获取==>>电子技术应用-AET<<