日前，网宿科技发布的《年中国互联网安全报告》显示，年，API攻击呈爆炸性增长，达到年的3.13倍。

Imperva发布的一项新研究揭示，易受攻击或不安全API的全球成本不断上升。对近,起独特的网络安全事件的分析估计，API安全隐患每年会导致41-亿美元的损失。

根据SaltSecurity最近发布的《年API安全状态》报告，大约34%的组织完全没有API安全策略，另有27%的组织表示只制定了基本策略，仅包括最低限度的API安全状态扫描和人工审查，毫无控制或管理措施。

NonameSecurity委托Research开展的另一项研究发现，41%的组织在过去12个月内经历过API安全事件。其中，63%涉及数据泄露或遗失。

ShadowserverFoundation的研究人员发现，超过38万台开放KubernetesAPI服务器暴露在互联网上，占全球可观测在线KubernetesAPI实例的84%。Shadowserver还在报告中称，“甚至还暴露了版本和构建信息。”

据了解，API往往是云基础设施管理中最弱的一环，因为它们往往位于控制平面核心位置，而控制平面负责处理云基础设施和应用程序的配置。但上述的数据、结论，无一不显示了API安全当下的严峻形式。另有数据表明，随着这些成熟的组织加速数字化转型，大公司特别容易受到与暴露或未受保护的API相关的安全风险的影响。

API的中文名是应用程序接口，又称为应用编程接口，是软件系统不同组成部分衔接的约定。其主要价值是链接应用程序和数据，以及链接客户和商业伙伴。同时，API不仅服务于个人，还为许多企业的数字化转型提供了强大动力。

比如，对于软件研发来说，API就相当于编程语言中的库和类，研发人员越来越多地在API的基础上开发应用程序，实现对通用服务的重复使用和共享，以加速创新和推动企业变革。

现代API往往隐藏在网络应用之中，在日常生活中接触最为广泛和熟知的身份认证、电子支付、定位、语音转换等等基础数字服务，都是以API的形式来呈现的。

API应用场景

面向终端客户：在互联网上开发给到用户使用的APP、Web、小程序等使用到的API

面向合作企业：在互联网上开放给到合作企业客户使用的业务API

面向内部员工：开放给到内部员工或者合作伙伴使用的应用系统上关联到的API

面向开源组件和中间件：使用到的clickhouse、springboot、k8shadoopjenkins等涉及到的API

相关报道指出，API是无形的结缔组织，使应用程序能够共享数据以改善最终用户体验和结果。企业使用的API数量正在快速增长；近一半的企业内部或公开部署了50-个，而有些企业拥有超过一千个活动API。

许多API直接连接到存储敏感数据的后端数据库。因此，黑客越来越多地将API作为通往底层基础设施的途径，以窃取敏感信息。如今，每13起网络事件中就有多达1起可归因于API不安全。随着生产中的API数量成倍增加，预计这一数字将在未来几年增长。

因此，针对企业API安全保护，综合了网上部分安全建议，以供大家参考：

第一，API资产的安全管理。企业要梳理API开放的数量、API的活跃状况、僵尸API、影子API等，清理影子API；识别和分类流经每个API的数据；从是否授权访问、越权访问、关键数据未脱敏、数据伪脱敏、输入参数可遍历、返回数据过多等方面严格检测、评估API的安全性。

第二，数据分级分类管理，访问行为管控。此前有相关新闻报道，内部人员通过应用系统的API违规或数据，如国内头部旅游公司的大量航班订单信息被内部人员泄露。因此，对于企业来说，数据安全的建设从数据访问的边界开始，构建以API为基础的流动数据的安全防护体系，如对敏感数据进行识别和过滤，对敏感数据进行脱敏等，在人员行为管控上，设置访问权限、身份验证等等。

第三，API攻击监测和防护。随着企业数字化程度的加深，数据资料变得越来越有价值，尤其是企业机密信息、用户数据、技术发明、市场策略等核心数据资产，这些都极易遭到非法窃取。因此，面对越来越多的API攻击和数据泄露风险，企业应从多个维度来构建防御体系，更需要基于风险情报来构建攻击检测模型，做到及早感知及时防御，从而保障企业及其用户的数据安全。

最后，值得注意的是，企业要减少API的滥用，在选择一些办公应用产品时，可选择没有复杂API对接的产品。