隐藏 API： 公共部门机构的盲点是否会受到攻击？

我一次又一次看到的最大挑战之一是缺乏对网络漏洞的了解。 许多组织根本不知道他们使用了多少个 API。 我们为客户进行了 API 发现练习，他们以为自己拥有大约 100 个 API，但结果却发现接近 30,000 个！ 这并不罕见并且会带来重大的安全风险。

API 在复杂的生态系统中运行，隐藏在架构、组件、类型和协议的拼凑之中。 平均而言，组织使用超过 20,000 个 API 。 到 2030 年，公共和私营部门使用的 API 总数预计将超过 20 亿。 管理和保护这些内容的挑战最常见的原因是缺乏文件或发现困难。 

这种“影子 IT”现象，即未知或不受管理的 API 激增，为漏洞提供了滋生地。 这些 API 通常缺乏适当的安全控制，因此很容易成为恶意行为者的目标。 想象一下，这就像你家里的门窗没有锁一样——这对那些想要闯入的人来说是一个公开的邀请。 

API 越来越成为民族国家行为者和网络犯罪组织的目标。 与政府和国防相关的 API 与面向公众的 API 一样容易受到攻击。 可以说，由于他们处理的敏感数据，他们成为目标就更具吸引力。

API 可用作对网络进行更深层次攻击的入口点。 受损的 API 可以提供对内部系统、数据库和其他关键资源的访问。 这就像找到一条进入组织中心的秘密通道。 正如我们在美国网络运营商 T-Mobile 的案例中看到的那样，威胁行为者可以利用 API 漏洞来未授权访问暗网上有价值的机密数据。 在本案中，攻击者窃取了3700万现有客户账户的个人信息。 

事情变得更加复杂的是，组织可能无法完全控制与其系统接触的所有 API。 

美国 财政部攻击者通过第三方软件组件的漏洞获取了访问权限——讽刺的是，该软件是财政部网络防御的一部分。 这些供应链攻击可能会影响任何规模和地位的组织，其中就有许多例子，例如 Solar Winds 攻击和 Volt Typhoon 组织成为头条新闻。

强大的 API 安全措施需要不遗余力。 我们的2024 年application战略状况报告： API 安全揭示了哪些 API 面临的风险最大，哪些 API 常常被忽视，以及 API 安全模型和职责需要如何适应才能在人工智能时代保证 API 的安全。 剧透警告：零信任安全也存在盲点，除非它也包含 API。 

人工智能既加剧了 API 安全性，也协助了 API 安全性。 Gartner 估计，到 2026 年，由于大型语言模型需要收集和交换数据所需的 API 数量，AI 的采用将推动API 需求增长 30%以上。 每个 API 都需要文档和安全性，这为恶意行为创造了大量机会。

幸运的是，组织并非毫无防御能力，人工智能正在成为一种强大的防御工具。 人工智能和机器学习可以实时分析 API 流量，检测人类无法手动识别的异常和可疑行为。

AI 可以对 API 进行分类，了解正常行为模式，并标记潜在的滥用或安全漏洞。 它还可用于动态生成安全策略，适应不断演变的威胁并确保您的 API 始终受到保护。 这就像有一位不知疲倦、智能的保安不断监控您的 API 流量。