为什么企业担心僵尸API

随着新威胁的出现，API 威胁形势也在不断发展。最近，受到更多关注的一种风险是僵尸 API。这些是被遗忘的、不死的端点，潜伏在过去 IT 项目的阴影中。僵尸 API 尚未完全弃用并且仍然存在，如果不关闭，它们可能会无意中暴露敏感数据。

当今精明的技术人员并没有忽视影子 API 和僵尸 API的威胁。 Salt Labs 发布的今年的API 安全状况报告发现，过时的僵尸 API 是受访者最关心的问题。 Salt Security 产品战略副总裁 Nick Rago 表示，这可能是由于企业内部对云和API 治理重要性的认识不断提高。

我最近采访了 Rago，了解这些可怕端点的真相以及组织应如何应对。简而言之，随着攻击者越来越多地以 API 为恶意目的，高管们开始转向 API 治理来加强组织的整体安全态势。人们还开始将 API 视为 IT 资产，从而鼓励标准化。这些变化需要改进库存管理并识别僵尸 API 等端点，这些端点不再满足业务需求，但可能会带来不可预见的威胁。

API 受到关注：从安全威胁到 IT 资产

攻击 API 的门槛低得惊人。在检查了过去几年的许多攻击后，Rago 得出结论：“我们看到的大约 70% 的攻击都是高中生可能发起的攻击。” API 攻击不断增加，其中绝大多数与不良的安全状况有关。正如上述 Salt Labs 报告所示，95% 的受访者在生产 API 中遇到过安全问题，这主要是由于这种情况。

有趣的是，Rago 注意到最近对运行时保护的担忧有所下降，而对状态治理的担忧则更加强烈。这可能是因为许多 API 旅程仍处于早期阶段，大型企业的高管刚刚组建云治理委员会来编写 API 标准。

在许多情况下，API 标准直到最近才被定义或执行。部分原因是API 设计的流动性和缺乏通用标准。 “如果你问架构师、开发人员、DevOps 或 AppSec 专业人士，每个人对于什么是好的 API 都有不同的看法，”Rago 说。出于这个原因，人们对预先设计和执行标准更加感兴趣。

“规格优先终于占据主导地位，”拉戈说。新的 API 项目经理，尤其是金融领域的项目经理，需要这些新 API 项目的蓝图。他说，在越来越多的情况下，“API 在制定规范之前不会出现”。在他看来，根据最近的 APIContext 研究，这个领域的改进时机已经成熟，因为 75% 的 API 都存在规范漂移问题。

总体而言，从保险到航空公司和医疗保健的大型组织都开始认真对待 API 并对其成熟度进行投资。 API 意识的提高也影响着网关技术的进一步整合。 “企业正在像对待 IT 资产一样对待 API，”他说。 “他们拥有的 API 端点通常比他们拥有的任何其他 IT 资产都多。”

为什么僵尸 API 是最受关注的

Traceable 的 2025 年全球 API 安全状况报告由 Ponemon Institute 进行，调查了 1,500 名 IT 和 IT 安全从业者，发现其中 61% 的人认为 API 风险将在未来 12 至 24 个月内增加。破碎的访问控制和简单的授权差距仍然是 API 面临的最大风险，而那些不断增长的蜘蛛网是唾手可得的成果。

“对僵尸 API 的恐惧是真实存在的，”Rago 说。 “如果这些是 IT 资产，您需要知道是否有一台服务器五年来无人更新或打过补丁。我们现在正在通过 API 实现这一目标。”

除此之外，平均API 库存正在稳步增长。根据 Salt Security 研究，API 总数正在增加，去年增加了 167%，61% 的客户现在管理着 100 多个 API。 Rago 表示，对僵尸或影子 API的许多担忧源于大型、复杂的企业意识到这些 API 端点几乎没有治理。 “有很多，他们没有控制力或洞察力。”

哪些类型的 API 会成为僵尸？

但哪些 API 最有可能被抛在后面呢？根据 Rago 的说法，最有可能成为僵尸的 API 是针对特定用例构建的 API。人们通常对为公共或面向合作伙伴的场景构建的 API 有很好的眼光。但采用专为自定义用户体验而构建的 API，例如移动应用程序或网站。此类项目通常会被淘汰，尤其是为单个活动或活动而建造的项目，但下面的所有管道都保持正常运行。在这种情况下，API 可以轻松暴露敏感数据或个人身份信息(PII)。

僵尸 API 在未受到密切监控或存在大量技术债务或影子 IT 的环境中可能更为常见。找到它们并不总是那么容易。只有10% 的组织完整记录了他们的 API ，这使得定位这些端点具有挑战性。

Rago 表示，因此，API 发现不能只是简单地分析运行时请求，因为僵尸端点可能无法获取流量。相反，他鼓励采取更积极的发现方法。组织应该查看源代码存储库、旧的开发人员门户文档或参考资料以及 API 生态系统工具，以发现僵尸 API 潜伏的位置。 “Postman、Insomnia 或 SwaggerHub 系列中有什么？”

通过治理对抗僵尸 API

他们说杀死僵尸的唯一可靠方法就是砍下它的头。就 API 而言，这些步骤不那么血腥，但同样有效。对于僵尸 API，阻止它们的唯一可靠方法就是永久关闭它们。

但我们如何阻止 API 变得僵尸化呢？找到它们是一回事，消除它们产生的根本原因则完全是另一回事。后者的反应取决于治理。

正如我们之前介绍的，治理是一个包罗万象的术语，适用于 API 生命周期（从设计到开发、测试和生产）的最佳实践。 Rago 表示，在各个阶段，有必要从数据监管的角度进行验证，或者确保 API 遵循特定的设计策略，例如按照某种格式实现用户 ID。组织可能还制定了有关第三方消费的政策。

您不会通过观看《活死人黎明》来学习如何关闭 API。虽然僵尸 API 并不像电影中的不死生物那样令人兴奋，但它们对组织来说同样危险。解决方案在于执行驱动的组织范围内的标准。正如拉戈所说，“每个人都认识到标准的重要性。”通过适当的治理，组织可以确保他们的 API 不会再次困扰他们。

原文链接：https://nordicapis.com/why-enterprises-are-concerned-about-zombie-apis/