頂級API安全工具可以幫助用戶抵御對重要且無處不在的軟件開發(fā)接口的現(xiàn)代威脅。

應(yīng)用程序編程接口(API)已經(jīng)成為網(wǎng)絡(luò)、程序、應(yīng)用、設(shè)備以及計算領(lǐng)域中幾乎所有東西的關(guān)鍵部分。對于云計算和移動計算來說尤其如此，如果沒有API將所有內(nèi)容整合在一起或管理大部分后端功能，云計算和移動計算都不可能以目前的形式存在。

由于其可靠性和簡單性，API在整個計算領(lǐng)域已經(jīng)無處不在。大多數(shù)企業(yè)可能甚至不知道有多少API在他們的網(wǎng)絡(luò)中運行，尤其是在他們的云平臺中。大型企業(yè)中可能有成千上萬的API在工作，小型企業(yè)也依賴著比他們知道的更多的API。

API帶來的風(fēng)險

盡管API變得越來越有用，但它們的使用也帶來了風(fēng)險，創(chuàng)建API的標準很少，而且許多標準都是唯一的，因此，API包含可利用漏洞的情況并不少見。惡意分子發(fā)現(xiàn)，攻擊API通常比直接攻擊程序、數(shù)據(jù)庫、應(yīng)用程序或網(wǎng)絡(luò)容易得多。API一旦被入侵，改變API的功能并不難，因此，API也成為一種為黑客工作的幕后黑手。

API帶來的另一個風(fēng)險是，它們幾乎總是被過度許可，程序員給予它們很高的權(quán)限，這樣它們就可以在不中斷使用的情況下執(zhí)行自己的功能，但是，如果網(wǎng)絡(luò)攻擊者破壞了API，那么他們就可以使用這些高權(quán)限來做其他事情，就像他們破壞了管理員的帳戶一樣。這已經(jīng)成為一個嚴重的問題，CDN服務(wù)提供商Akamai公司的研究表明，針對API的攻擊占了全球所有憑證竊取嘗試的75%，網(wǎng)絡(luò)攻擊者知道API既易受攻擊又無處不在，因此時刻都在攻擊它們。

API安全工具的興起

考慮到攻擊API這一問題的嚴重性，近年來API安全工具的數(shù)量激增也就不足為奇了。如今有幾十種商業(yè)工具被設(shè)計用來保護API，還有數(shù)百種免費或開源的工具。許多與其他類型的網(wǎng)絡(luò)安全程序有相似的功能，但它們是專門為API的獨特性質(zhì)而配置的。

一般來說，API安全工具可以分為幾類，有些工具提供了嘗試一次性完成所有任務(wù)的完整平臺。目前最流行的API安全工具類型是那些保護API免受惡意請求的工具，這有點像API防火墻。其他工具被設(shè)計用于動態(tài)訪問和評估特定API以查找漏洞，從而加強其代碼以抵御攻擊。還有一些工具只是掃描環(huán)境，這樣企業(yè)就可以發(fā)現(xiàn)他們的網(wǎng)絡(luò)中存在多少API，因為沒有人可以保護他們不知道的東西。

考慮到API網(wǎng)絡(luò)安全工具的數(shù)量，試圖編制一個完整的API網(wǎng)絡(luò)安全工具列表是很困難的，但通過研究用戶和商業(yè)評論，一些工具開始脫穎而出。以下是一些可用于幫助增強API安全性的頂級工具，并簡要介紹了它們的優(yōu)點和功能。雖然有數(shù)百個工具未列入此列表，但這提供了一個很好的參照，說明了哪些是可用的工具，可以保護API避免遭受當今日益嚴重的網(wǎng)絡(luò)攻擊。

以下是目前可用的9種頂級API安全工具：

(1)APIsec

作為最流行的API安全工具之一，APIsec幾乎是完全自動化的，非常適合剛剛開始提高API安全性的企業(yè)。在已經(jīng)建立API的生產(chǎn)環(huán)境中，APIsec將掃描API并測試常見漏洞，例如腳本注入攻擊，它也將對每個API進行完全的壓力測試，以確保它能夠抵御業(yè)務(wù)流程攻擊等不容易檢測到的網(wǎng)絡(luò)攻擊。如果發(fā)現(xiàn)問題，它將標記這些問題，并為安全分析人員提供詳細信息。

APIsec也可以在創(chuàng)建API時被開發(fā)人員主動使用。這樣，任何漏洞都可以在API使用之前被消除，APIsec在API部署后繼續(xù)監(jiān)視，以防萬一。

(2)Astra

Astra是一個免費的工具，這意味著支持有限。用戶需要從GitHub獲取并安裝到他們的環(huán)境中，該工具在幫助管理和保護非常特定類型的API方面享有很高的聲譽。

Astra專注于代表性狀態(tài)轉(zhuǎn)移(REST)API，由于它們經(jīng)常發(fā)生變化，因此測試和保護這些API非常困難。Astra通過集成到企業(yè)的持續(xù)集成(CI)/和持續(xù)交付(CD)管道中提供幫助，它確保了可能影響API的最常見的漏洞不會蔓延到所謂安全的REST API，因為它們作為其功能的一部分不斷變化。

(3)AppKnox

AppKnox以非常支持其用戶基礎(chǔ)而聞名。該平臺有一個非常易于使用的界面，該公司在部署和使用它時也提供了很多幫助。AppKnox這一工具已經(jīng)進入了許多擁有小型安全團隊的企業(yè)，因為它能夠以最小的努力支持API安全性的添加。

一旦安裝，AppKnox將測試API的常見問題，例如HTTP請求漏洞、SQL注入漏洞等，它還掃描與API連接的所有資源，以確保它們不會成為黑客的有效攻擊路徑。

(4)Cequence Unified API Protection

Cequence Unified API Protection保護平臺專為部署企業(yè)環(huán)境的企業(yè)而設(shè)計，這些企業(yè)每天可能需要處理數(shù)十億個對其API的請求?？蓴U展的保護平臺首先檢測企業(yè)內(nèi)的所有API，然后將它們歸檔到一個廣泛的目錄中。然后，可以對API進行漏洞的通用測試，或者安全團隊可以定義需要在API組上執(zhí)行的特定測試。這不僅對保護API非常有幫助，而且還有助于遵守需要特定保護的政府法規(guī)或行業(yè)標準。

(5)Data Theorem API Secure

Data Theorem API Secure可以清點網(wǎng)絡(luò)、云計算、應(yīng)用程序或任何其他目標中存在的每個API。對于那些想要加強API安全性，但不知道從哪里開始，甚至不知道他們正在使用多少API的企業(yè)來說，這是一個很好的選擇。API Secure還保持API庫存的最新狀態(tài)，在部署時快速查找任何新的API。

一旦定位，API安全將像黑客一樣測試每個API的漏洞。然后，它可以標記該API，讓工作人自行檢查或自動修復(fù)許多漏洞。

(6)Salt Security API Protection Platform

Salt Security API Protection Platform非常先進，是首批充分利用人工智能和機器學(xué)習(xí)來檢測和阻止針對API的威脅的平臺之一。該平臺通過收集整個網(wǎng)絡(luò)上的API流量來實現(xiàn)這一點，分析對API的調(diào)用以及它們的響應(yīng)。然后，它將在本地看到的數(shù)據(jù)與存儲在基于云計算的大數(shù)據(jù)引擎中的流量數(shù)據(jù)進行比較。然后，它可以阻止大多數(shù)網(wǎng)絡(luò)攻擊并突出顯示可疑活動，提醒安全團隊或根據(jù)其設(shè)置采取行動。

隨著時間的推移，這一平臺會不斷學(xué)習(xí)，它檢查API網(wǎng)絡(luò)的時間越長，在確定特定網(wǎng)絡(luò)上哪些行為是可接受的時候就越準確。

(7)Noname Security

Noname Security在大企業(yè)中建立了良好的聲譽。據(jù)報道，20%的財富500強公司都在使用它。它的設(shè)計目的是通過分析通過API移動的流量數(shù)據(jù)，超越一些平臺提供的標準API漏洞檢查保護。然后，它利用人工智能和機器學(xué)習(xí)來查找惡意活動。

Noname Security在測試中支持使用通用和非標準API。例如，它完全支持HTTP、RESTful、GraphQL、SOAP、XML-RPC、JSON-RPC和gRPC API。使用流量數(shù)據(jù)，它甚至可以發(fā)現(xiàn)、分類和保護不受API網(wǎng)關(guān)管理的API，或者不遵循任何標準協(xié)議的本地API。

(8)Smartbear ReadyAPI

專注于開發(fā)環(huán)境，Smartbear ReadyAPI不僅可以用于在構(gòu)建API時測試API的安全漏洞，還可以監(jiān)視其性能。通過這種方式，開發(fā)人員可以看到如果API遇到非常大量的數(shù)據(jù)會發(fā)生什么。

作為測試的一部分，用戶可以配置向開發(fā)中的API發(fā)送什么樣的流量，或者ReadyAPI可以從企業(yè)的網(wǎng)絡(luò)捕獲真實的流量，然后將其用于非常實際的測試。ReadyAPI支持Git、Docker、Jenkins、Azure DevOps、TeamCity等。

(9)Wallarm End-to-End API Security

Wallarm還可以幫助減輕由機器人進行的分布式拒絕服務(wù)(DDoS)攻擊和偵察入侵或直接攻擊?？紤]到當今互聯(lián)網(wǎng)上的大部分流量都是由機器人組成的，這是一個很好的安全功能。

該平臺還提供了基于用戶流量的企業(yè)的整個API組合的深入觀察和概述，這不僅可以提供對安全性的洞察，還可以提供企業(yè)如何使用API以及哪些領(lǐng)域可能需要改進的建議。這并不是Wallarm平臺的主要目的，但作為使用該平臺的額外獎勵，這些詳細的報告肯定會在安全之外的其他領(lǐng)域有所幫助。