什么是 API 攻击？

API 攻击指的是企图将 API 用于恶意或其他未经批准的目的。API 攻击有多种形式，包括：

  • 利用 API 实施中的技术漏洞
  • 使用窃取的凭据和其他帐户接管技术伪装成合法用户
  • 滥用业务逻辑，从而以无法预料的方式使用 API

不断增长的 API 攻击威胁

当今 API 无处不在。API 不仅能够支持互联网上的应用程序和服务，还能为移动应用程序和云端客户服务提供助力，因而对于业务运营以及保持敏捷性和竞争力都至关重要。而这也使 API 成为网络犯罪分子高度觊觎的目标。

防范 API 攻击并非易事。现代 DevOps 实践、云之旅以及不断变化的 API 产品使得复杂程度进一步提高，这让数字资产保护所面临的挑战更加难以应对。

Akamai App & API Protector为 API 资产提供了功能强大且全面的 威胁防护 。App & API Protector 在设计中充分考虑了简单性和易用性，并整合了如今可用的一些高度先进的安全自动化功能。利用 Akamai 的这一解决方案，您可以阻止 API 攻击，同时保护网站和应用程序免遭各类威胁，最大限度地缩小攻击面，并减轻 IT 管理员的工作负担。

API 安全防护所面临的挑战

API 支持软件应用程序和操作系统之间快速、轻松地相互通信，有助于加快业务发展速度、加强协作并提高网络上各个位置的性能。然而，使用传统 网络安全 解决方案进行 API 安全防护的企业可能无法防范入侵。

常见的 API 攻击包括几种众所周知的攻击媒介：

  • 中间机器攻击 (MITM) 允许黑客悄悄拦截通信通道中两个端点之间的通信和请求，从而帮助他们窃取敏感信息。
  • DDoS 攻击 （分布式拒绝服务攻击）试图通过同时请求数千个连接来耗尽 API 中的内存空间，从而占用全部可用资源并引发崩溃。
  • SQL 注入攻击 只需在开发不完善的程序中注入恶意代码，即可访问软件。
  • 不安全的 API 密钥生成 允许攻击者从大量用户中生成并使用各种 API 密钥，从而让传统 API 安全工具无计可施。
  • 日志记录和监控不足 使黑客能够以初始漏洞作为立足点，继续寻找其他漏洞。
  • 受损的访问控制 使攻击者能够访问特权功能、修改或删除网站内容或窃取敏感数据。

客户为什么选择 Akamai

WAAP（Web 应用程序和 API 防护）网络安全技术示意图

借助 Akamai 阻止 API 攻击

Akamai App & API Protector 提供了一个全面的 Web 应用程序和 API 防护解决方案，该解决方案能够加强 IT 安全保护战略，深入洞悉新型风险，帮助 IT 团队瞄准安全漏洞，阻止 API 攻击。

Akamai 的这一解决方案由自适应安全引擎提供支持，并结合了 API 安全领域的多项卓越的核心技术，以及用于 Web 应用程序防火墙、爬虫程序抵御和 DDoS 防护的 网络安全解决方案

利用 App & API Protector，您的 IT 安全团队可以：

  • 缩小 API 攻击面。尽管 API 是实现高效网络体验的重要机制，但它们也可能会暴露后端数据和逻辑。Akamai 的解决方案能够自动发现漏洞并保护 API 免遭漏洞攻击，包括 OWASP 十大 API 安全漏洞。
  • 阻止 API 攻击威胁检测 功能可保护网站、应用程序和 API 免遭各种威胁，包括受损的访问控制、SQL 注入、自动僵尸网络、大规模 DDoS 等
  • 简化维护。Akamai 依靠自动更新和自动自主调优功能，助力您的团队保持 API 和应用程序的强大安全性，这有助于防止警报疲劳，让团队能够调查真正的网络攻击，而不必受困于错误警报。
  • 部署多层次解决方案。在 Akamai 助力下，您可以利用包括 Web 应用程序防护、爬虫程序监测和抵御、DDoS 防护、SIEM 连接器、Web 优化、边缘计算、API 加速等功能在内的解决方案，充分发挥您的网络威胁安全技术投资的价值。

Akamai App & API Protector 的功能

Akamai App & API Protector 提供了先进技术来阻止 API 攻击。保护的前提在于监测，而借助 Akamai 的解决方案，您可以自动发现 Web 流量中各种已知、未知和不断变化的 API。这使您的团队能够防范隐藏攻击、发现错误并识别意外更改。利用我们的技术，您只需点击几下鼠标，就能轻松登记新发现的 API。无论 API 登记与否，App & API Protector 都会自动检查所有 API 请求是否包含恶意代码，从而默认提供强大的 API 安全性。

App & API Protector 的附加功能包括：

  • 爬虫程序监测和抵御。App & API Protector 对爬虫程序流量进行实时监测，能够检测并阻止不必要的爬虫程序。
  • 自动更新。我们的威胁研究人员每天分析超过 454 TB 的攻击数据，以发现新的攻击媒介并找出现有攻击媒介的新排列组合。从这些研究中获得的洞察会自动反馈给自适应安全引擎，以提供超级强大的保护。
  • DoS/DDoS 防护。Akamai可在边缘自动拦截网络层 DDoS 攻击，并在几秒内快速抵御应用层攻击。
  • 报告工具。Akamai 的仪表板、警报和报告工具支持您访问详细的攻击遥测和安全事件分析。IT 管理员可使用静态筛选器和阈值创建实时电子邮件警报。Web 安全报告工具可持续监控和评估 API 攻击防护的有效性。
  • 更轻松的登入流程。方便易用的向导提供了集成和配置工作流程，可简化初始配置流程，从而轻松完成资产的初始配置。

常见问题

应用程序编程接口 (API) 是支持两个应用程序相互通信的软件程序。API 简化并加快了应用程序开发，改善了与客户、合作伙伴、供应商和外部用户的协作。

API 攻击是指恶意攻击者试图在未经授权的情况下访问 API，以侵入系统或网络，或达到传输数据的目的。一旦得手，攻击者就会破坏业务运营或窃取数据、资金或凭据。大多数 API 攻击利用的都是 API 本身的安全漏洞。

API 攻击的有效防御措施是采用多层次的安全方法。企业所需的解决方案应该能够识别 API、测试 API 是否存在漏洞，并通过一系列防护措施（包括 Web 应用程序防火墙技术、多重身份验证、爬虫程序管理解决方案、DDoS 防护和其他先进的防御措施）对 API 进行安全防护。

数据外泄是 API 攻击和滥用得手后的常见后果。在某些情况下，它指的是恶意攻击者通过 API 攻击和滥用窃取高度敏感的非公开信息。不过，也可能指的是不太严重的 API 滥用类型，包括对公开可用数据进行侵略性数据搜索，以汇总有价值的大型数据集。

