获取企业范围内 API 的清单

保留整个企业内所有 API 的完整清单并且持续更新这份清单对于有效的 API 安全策略来说至关重要。鉴于与 API 攻击相关的风险日益加剧，只在需要时发现或每日发现 API 已经远远不够。此外，要让来自安全、开发和运营团队的主要团队成员了解 API 是如何被利用或滥用的，就必须要监测实际 API 行为（API 调用）。这可促进企业团队之间的沟通，便于开展调查。

API Security 支持自动持续发现各种技术环境和基础架构中的 API。它还可以识别新部署的 API，并将此类 API 的属性与任何现有文档进行比较。API Security 可检测出经常被忽视的影子 API 和已知的 API 漏洞，如 OWASP 十大 API 安全风险中概述的安全风险。

API 发现是一个持续的过程，我们会通过持续监控，全年无休地发现新增 API 以及对现有 API 的更改。安全团队能够充分掌握所有 API 的情况，并且第一时间获悉开发人员部署的新 API 或服务。

了解 API 风险状况

API 可增强企业推出的每一款数字产品和服务的功能。因此，API 的范围和规模不断扩大也不足为奇。但这种增长会导致 API 蔓延，进而改变您的攻击面。

如今的攻击者会寻找 API 漏洞，包括软件错误或配置错误，他们利用这些漏洞：

• 访问敏感的应用程序功能
• 查找、泄露和/或窃取敏感数据
• 恶意滥用 API

“ OWASP 十大 API 安全风险 ”中提供了一份有帮助的汇总清单，汇总了一些经常被利用的 API 漏洞和威胁，企业应尝试识别并解决这些漏洞和威胁。

借助 API Security，您可以将潜在风险、配置错误和漏洞及时通知安全、开发和 API 团队，从而防止攻击者利用易受攻击的 API 和配置错误的 API 向您的企业发起 API 攻击。您还可以轻松确定合作伙伴是否错误设置了您的 API，或者代码中是否存在漏洞。

情境告警和条件告警在您现有的工作流中无缝运作，例如通过自动创建 Jira 工作单，让您可以快速解决任何问题。

监控 API 滥用

API 设计为以编程方式使用，这使得区分合法使用与攻击和滥用十分困难。

尽管 API 攻击的手段各异，但一些最常见的手段包括：

• 业务逻辑滥用。业务逻辑攻击利用应用程序设计或实施的缺陷来引发有益于攻击者的意外行为和未经批准的行为。 
• 未经授权的数据访问。这种常见的攻击方法会利用受损的身份验证和授权机制的漏洞，访问受限数据。 
• 帐户接管。帐户接管依赖于凭据盗窃或跨站点脚本攻击，通过伪装成合法用户来利用 API。 
• 数据抓取。恶意攻击者可能通过频繁查询公开可用的资源，大规模获取大量有价值的数据集。
• 业务拒绝服务 (DoS)。不受限制的 API 调用可能会导致“服务侵蚀”或在应用层完全拒绝服务。 

检测和抵御这些以及其他潜在的 API 安全风险，需要将专门的 API 安全解决方案中的高级控制措施作为更广泛的应用程序安全策略的一部分来使用。