API监控防护服务-akamai

即使完美的 API 也可能被滥用。然而，与 Web 应用程序不同，API 可以在许多不同的场景中以编程方式使用，这使得区分合法使用与攻击和滥用十分困难。

API 受到攻击和滥用有很多不同的方式，以下是其中一些常见的例子：

• 商业逻辑滥用。 这些可怕的场景时常让首席信息安全官 (CISO) 彻夜难眠，因为传统的安全控制措施对此毫无用处。在逻辑滥用中，攻击者会利用应用程序设计或实施中的缺陷来引发意外行为和未经批准的行为，例如游戏串通、会员计划滥用和其他有益于攻击者的利用行为。
• 未经授权的数据访问。 API 滥用的另一种常见形式是攻击者利用损坏的授权机制来访问其无权访问的数据。这些漏洞有很多名称，例如失效的对象级授权 (BOLA)、不安全的直接对象引用 (IDOR)，以及失效的功能级授权 (BFLA)。
• 帐户接管。 在凭据被盗乃至跨站点脚本攻击之后，帐户可能会被接管。一旦发生这种情况，即使是编写得最好、安全性最高的 API 也可能被滥用。毕竟，如果不执行行为分析，任何经过身份验证的活动都被认为是合法的。
• 数据抓取。 如果企业通过公共 API 提供数据集，攻击者就可能积极查询这些资源，以便批量捕获大体量、有价值的数据集。
• 商业拒绝服务 (DoS) 攻击。 API 攻击者或用户如果请求后端执行繁重任务，可能引发应用程序层的“服务侵蚀”或完全拒绝服务（GraphQL 中十分常见的一个漏洞，但任何资源密集型 API 端点实施都可能发生这种情况）。在有人故意攻击或者合作伙伴过度使用而导致其他合作伙伴无法使用 API 时，就可能发生这种情况。
• 漏洞利用。 底层基础架构中的技术漏洞可能会导致服务器受损。此类漏洞的例子很多，包括 Apache Struts 漏洞（CVE2017-9791、CVE-2018-11776 等）和 Log4j 漏洞（CVE-2021-44228 等）。

要想识别这些漏洞和其他 API 安全风险并减轻影响，需要采取足够成熟的安全控制措施，才能应对这种复杂且快速变化的威胁态势。

API Security 解决方案提供的业务背景信息是只通过分析 IP 地址和 API 标识等技术元素所无法获得的。API Security 通过使用 AI/ML（即可靠的实时流量分析）来输出业务背景信息，让您能够对发出告警前后的活动进行深入分析，以确定根本原因。API Security 还允许按特定实体搜索 API，例如按用户或合作伙伴甚至业务流程实体（发票、付款、订单等）进行搜索，从而可以发现原本无法检测到的异常情况。