在为针对 B2C API 的爬虫程序攻击而担忧吗？您可能忽略了一个更大的风险

如今，许多安全团队虽然对 B2C API 安全问题有了很好的认识，但却忽视了 B2B API 目前在企业中发挥的核心作用以及它们可能给企业带来的毁灭性风险。对于任何想要在当今市场中保持竞争力的企业来说，数字化转型必不可少。然而，随着业务合作伙伴通过 API 集成各种关键操作功能，一个复杂的互联网络也随之诞生（如图所示）。

许多基于 API 的连接点可以让使用者直接查看和访问核心业务功能。在功能和数据仅限可信的合作伙伴按预期方式使用时，这可能没有任何问题。但是，这种级别的 API 访问权限一旦落入恶意合作伙伴或外部攻击者手中，便可能会给企业造成毁灭性的影响。

1.B2B API 的编写、维护甚至管理工作通常并非是由企业内管理 B2C API 的团队负责的。

例如，经销商、供应商和其他业务合作伙伴的 B2B API 归业务部门或 IT 部门所有。而很多时候， 不同部门的方法和流程差别很大。

2. B2B API 通常被认为更可信， 因为这类 API 已经过身份验证，属于知名公司内的已知合作伙伴所有。在知道 API 使用者是熟悉的合作伙伴时，往往更容易忽略 API 安全的最佳实践。

但实际上，公司是由人组成的，而人总会犯错。API 密钥可能会丢失、泄露或被破解，或者落入恶意内部人员手中。

3.第三，由于 B2B API 已经过身份验证，并且相比 B2C API 而言这种 API 的使用者数量更少， API 管理团队和安全团队很容易陷入一种虚假的安全感之中。许多企业没有预料到 B2B API 会有哪些意想不到的滥用方式，而且低估了企业会受到的影响。

例如，经过身份验证的合作伙伴在使用您的 API 时可能会滥用对数据和业务功能的访问权限，以此获得不公平的优势或转而与您的企业开展竞争。更坏的情况是，受信任的合作伙伴可能会遭到攻击，使得攻击者可以自由支配企业的敏感资源并且趁机尝试其他破坏性的 API 滥用媒介。

即使安全团队已经了解这些风险，也无法使用爬虫程序抵御工具、WAF 或第一代 API 安全产品来抵御这些风险。造成这种情况的一个重要原因是大多数企业并没有记录自己所公开的全部 B2B API。

另一个重要挑战在于，爬虫程序活动可通过流量高峰来进行监测，但 B2B API 滥用通常无法通过可预测的攻击模式来进行监测。更常见的攻击形式是 API 滥用 ，它往往与合法使用情况掺杂在一起。

即使安全团队拥有完整的 B2B API 清单并且积极进行监控，也不太可能使用传统的攻击特征来检测这类 API 滥用。现有的任何特征都无法捕获不寻常的 API 滥用或 零日 API 滥用。

那么，如何才能更好地控制 B2B API 安全风险呢？企业可以采取以下两个重要措施：

1. 实施 广泛且持续的 API 发现和监测 功能
2. 应用 行为分析技术 来区分滥用活动与合法活动

尽管大多数企业都努力实施结构良好的 API 流程和治理策略，但恶意 API 和影子 API 几乎无处不在。这些 API 通常并非出于恶意目的而创建。

现实情况是，大多数企业都设有很多团队和灵活的部门，所有这些团队和部门都在快速发展。再加上偶尔的合并或收购，即使是最积极采取措施的企业，也无法完全弄清楚自己所公开的所有 API。

唯一的办法是持续监控所有环境中的 API 活动。这可以通过捕获并分析所有可用来源的 API 活动流量和日志来实现。这些来源包括：

• 数据包代理

• 流量镜像

• API 网关

• 内容交付网络

• 云提供商日志

• 日志管理系统

• 编排工具

了解企业 API 活动的全部范围并制定能够适应变化的监测计划之后，接下来就可以探讨 B2B API 的保护了。

要想更好地抵御 B2B API 风险，您需要使用基于行为分析的方法，增强或替换您当前用以保护 B2C API 的工具和技术。

为什么？正如许多安全团队通过 扩展检测和响应 (XDR) 来确保企业安全时所发现的那样，行为分析方法可以建立合法或预期行为的基准，并发现无法提前预测的异常情况。

同样的概念可以运用到应用程序安全中。首先是分析 API 数据中呈现的用户和业务流程。这样做可以更轻松地发现异常情况，这些异常情况可能表明 B2B API 被滥用或至少使用方式不符合预期。

采用 API 行为分析方法可更好地了解 API 的使用和滥用情况，而且并不太复杂。您无需复杂而又成本高昂的本地安全基础架构。借助 Akamai API Security，您可以 在几分钟内获得初步洞察 并投入实际应用，从而通过 100% 软件即解决方案(SaaS)方法充分了解和保护整个 API 足迹。