隨著微服務架構的普及、開發向低代碼/無代碼轉變，API的應用持續擴大。據統計，API請求已占所有應用請求的83%，預計2024年API請求命中數將達到42萬億次，API已經成為數字世界的基礎設施。與此同時，API攻擊呈現爆發態勢。2021年API攻擊流量增長了681%，而整體API流量增長了321%。既要API的開放，又要API的安全，成為了企業開展數字化業務的“兩難困境”。

　　為了保障API安全，企業紛紛將建設API安全防護體系提上日程。但是，API的特性給企業帶來了一些列的挑戰。首先，API類型多、數量多。有研究顯示，每家企業平均管理超過350種不同類型的API，單個復雜業務應用的API數量可達10W級。隨著企業業務數字化水平的持續提升，API的類型和數量化還在快速增長中。其次，API安全漏洞多、訪問流量大。不同類型的API存在不同的安全漏洞。由于API資產規模龐大、類型繁雜，企業往往難以及時修補這些漏洞，也難以及時相關的攻擊行為。最后，API傳輸的敏感數據多，威脅感知難。API中傳輸著大量敏感數據，企業難以感知哪些敏感數據被訪問，出現訪問異常后也難以實時阻斷，并對威脅進行分析溯源。

　　API安全監測平臺，助力企業破解API安全難題

　　面對這些API安全風險，建設API安全監測平臺，借助平臺統一管理API安全資產、監測API攻擊、保障數據安全成為了企業的必然選擇。API安全監測平臺作為企業管理API資產、保障API安全的重要工具，通常采用旁路部署，使用探針監測、分析網絡和業務應用的API鏡像流量。平臺通常具備API資產發現、API資產畫像、API脆弱性發現與修補、API攻擊監測、數據安全分析等功能，幫助企業建立API安監測體系，保證自身的網絡安全與業務安全。

　　API安全監測平臺的核心功能主要包括API資產發現、API脆弱性分析、API攻擊監測、數據安全分析。其中，API資產發現是API安全監測平臺的基礎功能。API安全監測平臺基于流量基線和數據模型，自動發現API資產，對API進行梳理、分析和分類，建立API資產畫像，以可視化方式展現API信息。針對API脆弱性問題，平臺能夠自動分析和發現系統中API的脆弱性問題，對API存在的越權、注入、失速和敏感數據暴露等漏洞進行檢測，并提供對應的修補方案。針對API攻擊，平臺能夠實時監控API訪問情況，分析流量數據，識別風險行為，發出攻擊報警。平臺提供對API攻擊的分析、溯源功能，幫助企業實現對API風險行為的全生命周期管理。針對企業的數據安全需求，A平臺能夠依照數據識別規則，檢測API接口中雙向傳輸的敏感數據。針對命中風險事件的IP、賬號，平臺能夠聯動其它安全產品，進行主路實時阻斷。同時，平臺支持對敏感事件的訪問取證，安全人員可對敏感數據進行追蹤溯源。

　　API安全監測平臺偏重于API安全的監測，多與偏重于策略與響應的API安全網關配合使用，在Web應用安全、企業內網安全、數據安全等場景下，保障企業數字化業務的安全。

　　當前，企業的Web應用通過API向合作方提供數據、服務。API安全監測平臺能夠對Web API進行脆弱性分析，檢測API安全漏洞，并給出修補方案；能夠實時監控Web API的訪問情況，分析流量數據，基于API威脅模型識別風險行為并發出報警。

　　在企業內網安全場景下，針對企業內網中業務應用與業務應用之間的API，以及應用內部功能模塊之間的API，API安全監測平臺能夠自動發現API資產，對API資產進行梳理、分類和聚合，完成API資產畫像，幫助企業實現對API的全生命周期管理。API安全監測平臺還能夠完成API脆弱性分析、監測API攻擊、識別敏感數據，幫助及時發現和處理潛在的API安全問題

　　針對企業的數據安全需求，API安全監測平臺應能自動識別API接口中雙向傳輸的敏感數據。針對命中風險事件的IP、賬號，平臺能夠發出警報并聯動其它安全產品，進行主路實時阻斷，保障企業數據安全。API安全監測平臺支持對敏感事件的訪問取證，安全人員可對敏感數據進行追蹤溯源。

　　目前，API安全監測平臺已經在金融、互聯網、運營商都行業落地應用，取得了良好的實踐效果。某股份制商業銀行采用芯盾時代API安全監測平臺管理企業的API資產，對原有API資產進行了全面的梳理，以功能、應用等多種維度聚合同類API，形成分類明確、路徑清晰的API資產樹，構建API資產畫像，建立“全局可視、單點清晰”的API資產管理體系。借助API安全監測平臺，該銀行對所有API進行了脆弱性分析，修補了大量的API安全漏洞，有效提升了API安全水平。