API加速了企業的數字化轉型，其控制軟件的交互方式，并在 Web、物聯網（IoT）、移動和 SaaS 應用程序中聯通軟件，另外，API鏈接內部系統，與其他業務聯系密切，并能夠促進與合作廠商的共同創新。API作為連接數據與應用的重要通道，成為了數據安全建設中不容忽視的環節。

　　影子API 風險日益增加

　　企業會使用數百甚至數千個API，但其中許多API是IT團隊所不知道也不了解的。此外，開發人員也可能忘記停用舊版或撤下已被替換的“僵尸”接口。這些影子API 會顯著增加企業的風險，2019年，OWASP發布了API 安全中前十名的漏洞，包括對象級授權中斷、用戶身份驗證中斷和數據暴露過多等，隨著影子 API的擴展，這些威脅向量將呈指數級增長。

　　Gartner預測到2022年， API攻擊將成為最常見的攻擊媒介，這會導致企業Web應用程序的數據泄露。

　　需要影子API安全解決方案

　　企業通過使用軟件即服務（SaaS）平臺創建在線目錄以高效地發現和管理 API。在線工具支持實時發現并提供元數據，并顯示API 在上下文中的工作方式。具有聯機目錄的團隊可以看到所有 API 的業務邏輯，以及流入流出API 的敏感數據。這些重要信息使 IT 和安全團隊能夠實施有效的安全控制和檢測簽名。如果他們檢測到 API 行為發生變化，這表明存在誤用或攻擊，IT 和安全專家可以迅速采取行動進行補救或停用。

　　創建API 安全文化

　　由于企業的數字化業務在不停增長，開發人員不斷創建和應用新的代碼。相關報告顯示，盡管大多數開發人員認為他們的應用程序是安全可靠的，但仍然存在許多易受攻擊的代碼。，其主要原因包括：

　　01 開發人員面臨著“截止日期”的交付壓力。

　　02 漏洞風險低。

　　03 在軟件開發生命周期中發現漏洞太晚。

　　專家表示，使用在線目錄有助于創建DevSecOps文化。在該文化中，安全性是預先考慮的，開發人員可以使用聯機目錄跨外部 API、內部 API 和微服務自動對單個應用程序的請求進行分布式跟蹤。

　　IT 和安全團隊可以通過協作來加強應用程序和 API 的安全性，并借助自動化流程以及整體和細粒度視圖，可以進行更深入的分析、做出合理的安全決策以及主動修復漏洞。

　　增強智能化以提供更好的 API 保護

　　數字化的快速發展意味著隨著時間的推移，企業將使用更多的API。應用程序和服務將變得更加互聯。專家表示采用零信任安全模型和發展DevSecOps是理想的選擇。

　　另外，使用在線目錄公開 API 生態系統可提供有價值的信息，相關團隊能夠發現和管理所有 API，從而控制影子API，團隊也可以分析每個 API 的業務風險和潛在數據泄露，并確定修正工作的優先級。這樣，IT和安全團隊就可以追溯最終用戶的使用情況，確定API是否受到對手的攻擊以及其所在的位置。

更多信息可以來這里獲取==>>電子技術應用-AET<<