《瑞数信息：2023API安全趋势报告（27页）.pdf》由会员分享，可在线阅读，更多相关《瑞数信息：2023API安全趋势报告（27页）.pdf（27页珍藏版）》请在三个皮匠报告上搜索。

1、API SECURITY TRENDS REPORTCONTENTS目录 防护建议18 附录21项目背景11资产管理11敏感信息监测11缺陷识别11 攻击检测11客户收益12自动化攻击加剧 API 安全风险16API安全管理更加智能化16API 安全成为云应用安全的重要组成17合规要求成为 API 安全的要素17OWASPAPISecurityTOP102023解读22API安全事件合集26案例分享10API安全发展趋势15概述02核心观察04API 威胁态势分析05攻击态势06安全防护难点07行业分布分析08API 缺陷分析08被攻击 API 类型分析09攻击手段分析09应用程序接口（App

2、lication Programming Interface，API）是一些预先被定义的接口或协议，用来实现和其他软件组件的交互。API 在应用架构上实现了软件的模块化、可重用、可扩展能力，已经成为应用系统中使用广泛的核心支撑技术之一。APP、小程序、智能家电、政务平台、数据交换等都会使用到 API 相关技术。在数字时代下，无论是互联网商业创新还是传统企业数字化转型，都推动了 API 技术的发展，API 从只用于企业内部服务调用，到面向外部服务调用，再到如今的对外公开调用，API 已经逐步从限制性的局部接口，转向更大和更广的领域。其连接的已不仅仅是系统和数据，还有企业内部职能部门、客户和合作伙

3、伴，甚至整个商业生态。概述*报告中数据来源为瑞数信息防护案例及第三方公开数据采样，数据仅供参考。APIsAPIsAPIsAPIsAPIsAPIsAPIsAPIsAPIs业务服务器业务服务器物联网设备猛增企业内部访问边界不复存在随时随地访问数据库API 可公开获取、标准化、高效且易于使用的特性，为开发者带来诸多好处的同时，也极大地增加了应用系统新的风险。以 Web 和 API 为例，除了传统的 Web 攻击外，API 还面临着资产管理不当、接口滥用、过度数据暴露等威胁。Gartner 在其报告中预测，“到 2022 年，API 滥用将成为导致企业 Web 应用程序数据泄露的最常见攻击媒介。到 2

4、024 年，API 滥用和相关数据泄露将几乎翻倍”。中国信通院也在应用程序接口（API）数据安全研究报告（2020年）中提出API技术在帮助企业建立业务生态沟通桥梁的同时，与之相关的安全问题也日益凸显。近年来，越来越多的攻击者正利用 API 漏洞来实施自动化的“高效攻击”，由 API 漏洞所引发的安全事件，严重损害了相关企业和用户权益，逐渐受到各方的关注。比如：2021 年 6 月，著名社交平台 LinkedIn 领英，有超过 7 亿用户数据在暗网出售，涉及用户的全名、性别、邮件以及电话号码、工作职业等相关个人信息。据悉，部分数据是因为 API 管理不当导致泄露。2022 年 9 月，澳洲 O

5、ptus 公司存在未经身份验证的 API 漏洞，导致数百万用户的个人信息遭黑客窃取。2023 年 1 月，一个包含约 2.35 亿用户信息的 Twitter 数据库在黑客论坛 Breached 上被公布，此次泄露的数据大约有 63GB，其中包括用户的姓名、电子邮件地址、Twitter 手柄、粉丝数量和账户创建日期。4?数信息技术（上海）有限公司核心观察API 攻击持续走高API已成为企业数字业务生态系统的支柱，但同时也给了攻击者可乘之机。相关数据显示，每个企业平均管理超过 350 种不同的 API，其中 69%的企业会将这些 API 开放给公众和他们的合作伙伴。随着 API 调用数量的增多和自

6、动化工具的兴起，API 资产管理不当、自动化攻击、业务欺诈以及数据泄露等风险正在对企业的业务安全构成新的挑战。API 威胁复杂化在远程办公的背景下，员工终端更容易遭到恶意代码感染与钓鱼诈骗，同时企业应用向云端迁移已成为不可逆的趋势，不但容易遭到外部入侵者的攻击，也使得内外共谋舞弊变得更为容易，使得 API 威胁越来越复杂化。010203Bot 武器更聪明随着人工智能、机器学习等技术的发展，Bot 自动化攻击手段变得越来越普遍和复杂。Bot 自动化攻击可以快速、准确地扫描 API 漏洞或对 API 发起攻击，对系统造成严重威胁。5?数信息技术（上海）有限公司 攻击态势防护难点行业分布缺陷分析AP