《威胁猎人：API安全发展白皮书（2023）（49页）.pdf》由会员分享，可在线阅读，更多相关《威胁猎人：API安全发展白皮书（2023）（49页）.pdf（49页珍藏版）》请在三个皮匠报告上搜索。

1、 版版 权权 声声 明明 本报告版权属于深圳永安在线科技有限公司、中国信本报告版权属于深圳永安在线科技有限公司、中国信息通信研究院云计算与大数据研究所，并受法律保护。转息通信研究院云计算与大数据研究所，并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的，应载、摘编或利用其它方式使用本报告文字或者观点的，应注明注明“来源：深圳永安在线科技有限公司、中国信息通信研来源：深圳永安在线科技有限公司、中国信息通信研究院云计算与大数据研究所究院云计算与大数据研究所”。违反上述声明者，编者将追。违反上述声明者，编者将追究其相关法律责任。究其相关法律责任。参参 编编 人人 员员 毕裕、黄巍、吴越林

2、、李忆晨、卫斌、郭雪、孔松目目 录录 一、API 安全概述.1（一）API 已成为数字化转型的重要抓手，安全监管日趋严格.1（二）API 屡受攻击，安全治理存在众多难点.3 二、API 爆发式增长催生新的安全挑战.5（一）API 攻击趋势：新型攻击手段频现且难以防范.5 1.攻击手段多样化.5 2.攻击途径隐蔽化.7 3.攻击场景自动化.8（二）API 安全挑战：API 安全已成为网络安全的最大威胁之一.9 1.API 资产缺乏可见性，或将带来无法量化的风险.9 2.API 攻击面不断变化，企业难以管理和把控.11 3.现有防护体系难以对 API 风险进行有效识别.12 4.API 安全治理成

3、企业数据安全合规的必要举措.14 5.企业跨部门协同存难题，API 安全全生命周期治理难实现.15 三、API 安全防护体系建设思路.16（一）总述.16（二）基于 API 生命周期构建安全防护模型.16 1.规划阶段：引入威胁建模理论.17 2.开发阶段：加强安全开发建设，引入安全工具.19 3.测试阶段：使用 AST 类工具进行自动化漏洞测试，提高覆盖率.21 4.部署阶段：确保 API 的部署和配置的安全性.22 5.运维阶段：利用工具及时感知 API 攻击威胁.23 6.下线阶段：及时下线僵尸影子 API.25（三）API 安全闭环管理要求和建议.26 1.Identify：构建可持续

4、的识别能力.27 2.Protect：构建实时的防护能力.29 3.Detect：构建全面的检测能力.30 4.Respond：构建高效的响应能力.32 5.Recover：构建闭环式的修复能力.33 四、API 安全未来发展趋势展望.34 附录 1 2022 年全球 API 攻击重要事件.36 附录 2 API 安全最佳实践.39（一）金融行业.39（二）互联网行业.40（三）传统数字化.41 图图 目目 录录 图 1 API 生命周期安全管理模型.17 图 2 API 安全闭环管理.26 图 3 某互联网企业业务请求量.31 表表 目目 录录 表 1 API 安全检查表及最佳实践.19 表

5、 2 API 安全编码和开发规范.20 API 安全发展白皮书（2023）1 一、API 安全概述（一）（一）API 已成为数字化转型的重要抓手，安全监管已成为数字化转型的重要抓手，安全监管日趋严格日趋严格 API 指应用程序接口（Application Programming Interface）。中华人民共和国国家标准信息安全技术术语（GB/T25069-2022）将其定义为“一组预先定义好的功能，开发者可通过该功能（或功能的组合）便捷地访问相关服务，而无需关注服务的设计与实现”。应用程序接口作为促进数据流通的重要技术，不仅可以帮助企业建立与客户沟通的渠道，还承担着不同复杂系统环境、组织机

6、构之间的数据交互、传输的任务。API 安全指对应用程序接口的完整性进行有效的防护。API 安全通常包括接口的信息安全、数据安全以及应用安全。API 成为企业数字化转型的重要抓手。自新冠疫情以来，各企业及机构纷纷加快数字化转型的步伐。国家互联网信息办公室发布的数字中国发展报告（2022 年）显示，2022 年我国数字经济规模达 50.2 万亿元，数字经济成为稳增长促转型的重要引擎。随着企业将越来越多的数据和应用迁移至云端，API 也正成为企业成功数字化转型的战略重点之一。IDC 报告显示，到 2021 年，超过 50%的全球2000 强企业，将用 API 开放生态系统完成其平均 1/3 的数字化