印度发布API安全白皮书

编辑丨曾晓洋  吴梓聪  李卓霖  黄丹敏

【主要内容】

2023年8月14日，印度计算机应急响应小组（CERT-In）宣布发布了一份题为《API安全：威胁、最佳实践、挑战和使用人工智能的前进之路》的白皮书。白皮书中的导言部分对API进行了定义和常见攻击类型，并介绍了当前的威胁形势，重点谈论了金融方面的危险格局。接着列举了防范API攻击和弥补漏洞的一些最佳做法。其次，白皮书提出监控API和防御应用威胁的传统方法不足以应对目前复杂的API攻击，因而提出基于人工智能的API安全解决方案，同时也提出了相应的挑战。最后，提出需要利用最佳实践和人工智能来确保开放银行所使用的API的安全。

导言

白皮书对"应用程序编程接口"（API）进行了 定义 ，是一种数据连接，通过这种连接可以与其他应用程序共享数据。介绍了API普遍使用而对消费者、企业、第三方带来的 威胁形势 ，引用了印度金融业受到API攻击的同比增长率来佐证论点。进一步，白皮书介绍了 API攻击的类型 ，包括：损害的访问控制、DDoS攻击、跨站点脚本、SQL注入攻击、MITM、过度数据暴露、安全配置错误共七项常见的API攻击。

白皮书列举了防范API攻击和弥补漏洞的一些 最佳做法 ，包括认证和授权、API网关和防火墙、数据保护和安全通信、输入验证和净化、输出编码、速率限制和节流、错误处理和日志记录、CORS（跨源资源共享）、秘密的安全存储、定期安全评估、教育和文献以及隐私保护。

传统方法的局限性

白皮书指出传统方法（API网关和WAF）在应对复杂API攻击时的 局限性 。

API网关 是企业处理访问 API 请求的身份验证和授权的中央访问管理工具。虽然它可以执行授权和一些基本的安全功能，但它主要是一个 API 管理工具，而不是一个安全工具。

WAF 是基于代理的工具，可检查HTTP流量，监控、过滤和阻止恶意HTTP活动。尽管WAF能够保护API免受各种已知的技术攻击，但它们无法吸收足够的数据来拼接API随着时间推移而使用的动态性质，导致它们无法识别试图利用API漏洞的数百万用户中的不良行为者。

基于人工智能的API安全解决方案

白皮书提出了基于人工智能的API安全解决方案，强调了人工智能在异常检测和学习API调用模式方面的 优势 ，以应对日益复杂的API攻击。

白皮书讨论了基于人工智能的API安全 如何运作 ，强调基于人工智能的API安全性核心，是在API数据上训练的机器学习模型，在学习可能表明呼叫异常的特征之间的复杂关系方面非常强大。

同时，白皮书也讨论了在API安全中使用基于人工智能的模型所面临的 挑战 ，包括建模和验证方面的挑战、训练数据智能和数量挑战等。

结论

随着API的使用呈指数级增长，滥用这些API的情况也在增加。事实上，由于可以直接访问极其敏感的数据和功能，API经常被认为是当今企业面临的主要安全问题之一。针对API的一些主要攻击类型包括：破坏访问控制、SQL注入、DDoS攻击、过度数据暴露等。传统方法严格遵循基于API的规则来保护特定的API，且实施难度大，因此无法抵御针对API业务逻辑或功能（如操纵 API 内的调用流）的攻击。

利用最佳实践和人工智能来确保开放银行所使用的应用程序编程接口（API）的安全，将有助于及时全面地应对网络风险，并降低金融系统相互关联中的网络风险。

声    明

本文的所有内容均来自公开的资源和第三方，包含的链接可能会指向其他网站或资源，这些网站或资源并不由本公众号控制或拥有。本文不代表编辑的观点，以及编辑供职机构或其他相关机构的意见。本文仅为交流之用，如有任何意见，可以公众号后台私信提出。

❖