頂級(jí)API安全工具可以幫助用戶抵御對(duì)重要且無處不在的軟件開發(fā)接口的現(xiàn)代威脅。

應(yīng)用程序編程接口(API)已經(jīng)成為網(wǎng)絡(luò)、程序、應(yīng)用、設(shè)備以及計(jì)算領(lǐng)域中幾乎所有東西的關(guān)鍵部分。對(duì)于云計(jì)算和移動(dòng)計(jì)算來說尤其如此，如果沒有API將所有內(nèi)容整合在一起或管理大部分后端功能，云計(jì)算和移動(dòng)計(jì)算都不可能以目前的形式存在。

由于其可靠性和簡單性，API在整個(gè)計(jì)算領(lǐng)域已經(jīng)無處不在。大多數(shù)企業(yè)可能甚至不知道有多少API在他們的網(wǎng)絡(luò)中運(yùn)行，尤其是在他們的云平臺(tái)中。大型企業(yè)中可能有成千上萬的API在工作，小型企業(yè)也依賴著比他們知道的更多的API。

API帶來的風(fēng)險(xiǎn)

盡管API變得越來越有用，但它們的使用也帶來了風(fēng)險(xiǎn)，創(chuàng)建API的標(biāo)準(zhǔn)很少，而且許多標(biāo)準(zhǔn)都是唯一的，因此，API包含可利用漏洞的情況并不少見。惡意分子發(fā)現(xiàn)，攻擊API通常比直接攻擊程序、數(shù)據(jù)庫、應(yīng)用程序或網(wǎng)絡(luò)容易得多。API一旦被入侵，改變API的功能并不難，因此，API也成為一種為黑客工作的幕后黑手。

API帶來的另一個(gè)風(fēng)險(xiǎn)是，它們幾乎總是被過度許可，程序員給予它們很高的權(quán)限，這樣它們就可以在不中斷使用的情況下執(zhí)行自己的功能，但是，如果網(wǎng)絡(luò)攻擊者破壞了API，那么他們就可以使用這些高權(quán)限來做其他事情，就像他們破壞了管理員的帳戶一樣。這已經(jīng)成為一個(gè)嚴(yán)重的問題，CDN服務(wù)提供商Akamai公司的研究表明，針對(duì)API的攻擊占了全球所有憑證竊取嘗試的75%，網(wǎng)絡(luò)攻擊者知道API既易受攻擊又無處不在，因此時(shí)刻都在攻擊它們。

API安全工具的興起

考慮到攻擊API這一問題的嚴(yán)重性，近年來API安全工具的數(shù)量激增也就不足為奇了。如今有幾十種商業(yè)工具被設(shè)計(jì)用來保護(hù)API，還有數(shù)百種免費(fèi)或開源的工具。許多與其他類型的網(wǎng)絡(luò)安全程序有相似的功能，但它們是專門為API的獨(dú)特性質(zhì)而配置的。

一般來說，API安全工具可以分為幾類，有些工具提供了嘗試一次性完成所有任務(wù)的完整平臺(tái)。目前最流行的API安全工具類型是那些保護(hù)API免受惡意請求的工具，這有點(diǎn)像API防火墻。其他工具被設(shè)計(jì)用于動(dòng)態(tài)訪問和評(píng)估特定API以查找漏洞，從而加強(qiáng)其代碼以抵御攻擊。還有一些工具只是掃描環(huán)境，這樣企業(yè)就可以發(fā)現(xiàn)他們的網(wǎng)絡(luò)中存在多少API，因?yàn)闆]有人可以保護(hù)他們不知道的東西。

考慮到API網(wǎng)絡(luò)安全工具的數(shù)量，試圖編制一個(gè)完整的API網(wǎng)絡(luò)安全工具列表是很困難的，但通過研究用戶和商業(yè)評(píng)論，一些工具開始脫穎而出。以下是一些可用于幫助增強(qiáng)API安全性的頂級(jí)工具，并簡要介紹了它們的優(yōu)點(diǎn)和功能。雖然有數(shù)百個(gè)工具未列入此列表，但這提供了一個(gè)很好的參照，說明了哪些是可用的工具，可以保護(hù)API避免遭受當(dāng)今日益嚴(yán)重的網(wǎng)絡(luò)攻擊。

以下是目前可用的9種頂級(jí)API安全工具：

(1)APIsec

作為最流行的API安全工具之一，APIsec幾乎是完全自動(dòng)化的，非常適合剛剛開始提高API安全性的企業(yè)。在已經(jīng)建立API的生產(chǎn)環(huán)境中，APIsec將掃描API并測試常見漏洞，例如腳本注入攻擊，它也將對(duì)每個(gè)API進(jìn)行完全的壓力測試，以確保它能夠抵御業(yè)務(wù)流程攻擊等不容易檢測到的網(wǎng)絡(luò)攻擊。如果發(fā)現(xiàn)問題，它將標(biāo)記這些問題，并為安全分析人員提供詳細(xì)信息。

APIsec也可以在創(chuàng)建API時(shí)被開發(fā)人員主動(dòng)使用。這樣，任何漏洞都可以在API使用之前被消除，APIsec在API部署后繼續(xù)監(jiān)視，以防萬一。

(2)Astra

Astra是一個(gè)免費(fèi)的工具，這意味著支持有限。用戶需要從GitHub獲取并安裝到他們的環(huán)境中，該工具在幫助管理和保護(hù)非常特定類型的API方面享有很高的聲譽(yù)。

Astra專注于代表性狀態(tài)轉(zhuǎn)移(REST)API，由于它們經(jīng)常發(fā)生變化，因此測試和保護(hù)這些API非常困難。Astra通過集成到企業(yè)的持續(xù)集成(CI)/和持續(xù)交付(CD)管道中提供幫助，它確保了可能影響API的最常見的漏洞不會(huì)蔓延到所謂安全的REST API，因?yàn)樗鼈冏鳛槠涔δ艿囊徊糠植粩嘧兓?/p>

(3)AppKnox

AppKnox以非常支持其用戶基礎(chǔ)而聞名。該平臺(tái)有一個(gè)非常易于使用的界面，該公司在部署和使用它時(shí)也提供了很多幫助。AppKnox這一工具已經(jīng)進(jìn)入了許多擁有小型安全團(tuán)隊(duì)的企業(yè)，因?yàn)樗軌蛞宰钚〉呐χС諥PI安全性的添加。

一旦安裝，AppKnox將測試API的常見問題，例如HTTP請求漏洞、SQL注入漏洞等，它還掃描與API連接的所有資源，以確保它們不會(huì)成為黑客的有效攻擊路徑。

(4)Cequence Unified API Protection

Cequence Unified API Protection保護(hù)平臺(tái)專為部署企業(yè)環(huán)境的企業(yè)而設(shè)計(jì)，這些企業(yè)每天可能需要處理數(shù)十億個(gè)對(duì)其API的請求。可擴(kuò)展的保護(hù)平臺(tái)首先檢測企業(yè)內(nèi)的所有API，然后將它們歸檔到一個(gè)廣泛的目錄中。然后，可以對(duì)API進(jìn)行漏洞的通用測試，或者安全團(tuán)隊(duì)可以定義需要在API組上執(zhí)行的特定測試。這不僅對(duì)保護(hù)API非常有幫助，而且還有助于遵守需要特定保護(hù)的政府法規(guī)或行業(yè)標(biāo)準(zhǔn)。

(5)Data Theorem API Secure

Data Theorem API Secure可以清點(diǎn)網(wǎng)絡(luò)、云計(jì)算、應(yīng)用程序或任何其他目標(biāo)中存在的每個(gè)API。對(duì)于那些想要加強(qiáng)API安全性，但不知道從哪里開始，甚至不知道他們正在使用多少API的企業(yè)來說，這是一個(gè)很好的選擇。API Secure還保持API庫存的最新狀態(tài)，在部署時(shí)快速查找任何新的API。

一旦定位，API安全將像黑客一樣測試每個(gè)API的漏洞。然后，它可以標(biāo)記該API，讓工作人自行檢查或自動(dòng)修復(fù)許多漏洞。

(6)Salt Security API Protection Platform

Salt Security API Protection Platform非常先進(jìn)，是首批充分利用人工智能和機(jī)器學(xué)習(xí)來檢測和阻止針對(duì)API的威脅的平臺(tái)之一。該平臺(tái)通過收集整個(gè)網(wǎng)絡(luò)上的API流量來實(shí)現(xiàn)這一點(diǎn)，分析對(duì)API的調(diào)用以及它們的響應(yīng)。然后，它將在本地看到的數(shù)據(jù)與存儲(chǔ)在基于云計(jì)算的大數(shù)據(jù)引擎中的流量數(shù)據(jù)進(jìn)行比較。然后，它可以阻止大多數(shù)網(wǎng)絡(luò)攻擊并突出顯示可疑活動(dòng)，提醒安全團(tuán)隊(duì)或根據(jù)其設(shè)置采取行動(dòng)。

隨著時(shí)間的推移，這一平臺(tái)會(huì)不斷學(xué)習(xí)，它檢查API網(wǎng)絡(luò)的時(shí)間越長，在確定特定網(wǎng)絡(luò)上哪些行為是可接受的時(shí)候就越準(zhǔn)確。

(7)Noname Security

Noname Security在大企業(yè)中建立了良好的聲譽(yù)。據(jù)報(bào)道，20%的財(cái)富500強(qiáng)公司都在使用它。它的設(shè)計(jì)目的是通過分析通過API移動(dòng)的流量數(shù)據(jù)，超越一些平臺(tái)提供的標(biāo)準(zhǔn)API漏洞檢查保護(hù)。然后，它利用人工智能和機(jī)器學(xué)習(xí)來查找惡意活動(dòng)。

Noname Security在測試中支持使用通用和非標(biāo)準(zhǔn)API。例如，它完全支持HTTP、RESTful、GraphQL、SOAP、XML-RPC、JSON-RPC和gRPC API。使用流量數(shù)據(jù)，它甚至可以發(fā)現(xiàn)、分類和保護(hù)不受API網(wǎng)關(guān)管理的API，或者不遵循任何標(biāo)準(zhǔn)協(xié)議的本地API。

(8)Smartbear ReadyAPI

專注于開發(fā)環(huán)境，Smartbear ReadyAPI不僅可以用于在構(gòu)建API時(shí)測試API的安全漏洞，還可以監(jiān)視其性能。通過這種方式，開發(fā)人員可以看到如果API遇到非常大量的數(shù)據(jù)會(huì)發(fā)生什么。

作為測試的一部分，用戶可以配置向開發(fā)中的API發(fā)送什么樣的流量，或者ReadyAPI可以從企業(yè)的網(wǎng)絡(luò)捕獲真實(shí)的流量，然后將其用于非常實(shí)際的測試。ReadyAPI支持Git、Docker、Jenkins、Azure DevOps、TeamCity等。

(9)Wallarm End-to-End API Security

雖然Wallarm End-to-End API Security平臺(tái)被設(shè)計(jì)為在許多API駐留的云原生環(huán)境中工作，但它也可以用于保護(hù)內(nèi)部設(shè)備中存在的API。它旨在防止針對(duì)API的任何類型的威脅，從開放Web應(yīng)用程序安全項(xiàng)目(OWASP)頂級(jí)漏洞列表中的威脅，到經(jīng)常針對(duì)API的憑據(jù)填充等的特定威脅。

Wallarm還可以幫助減輕由機(jī)器人進(jìn)行的分布式拒絕服務(wù)(DDoS)攻擊和偵察入侵或直接攻擊。考慮到當(dāng)今互聯(lián)網(wǎng)上的大部分流量都是由機(jī)器人組成的，這是一個(gè)很好的安全功能。

該平臺(tái)還提供了基于用戶流量的企業(yè)的整個(gè)API組合的深入觀察和概述，這不僅可以提供對(duì)安全性的洞察，還可以提供企業(yè)如何使用API以及哪些領(lǐng)域可能需要改進(jìn)的建議。這并不是Wallarm平臺(tái)的主要目的，但作為使用該平臺(tái)的額外獎(jiǎng)勵(lì)，這些詳細(xì)的報(bào)告肯定會(huì)在安全之外的其他領(lǐng)域有所幫助。