近日，網絡安全領域的一項研究顯示，中國在過去一年中在應對應用程序編程接口（API）安全事件上的花費位居全球之首，總額高達77.8萬美元（折合人民幣約568萬）。這一數據出自Akamai發布的《API安全影響研究》報告，揭示了API安全已成為企業不可忽視的重大挑戰。

API攻擊并非新鮮事物，其歷史可追溯至互聯網發展的早期階段。從最初的計算機單機時代，API主要用于軟件模塊間的內部交互，安全問題尚未浮出水面，到CGI（通用網關接口）的出現，API攻擊開始嶄露頭角，攻擊者通過篡改參數、簡單注入等手段試圖突破接口限制。

進入2000年至2010年間，隨著Web2.0的興起，SOAP協議推動了企業對外API的標準化，但復雜的協議設計也引入了新的安全風險，如XML注入和中間人劫持。隨后，RESTful API因其簡潔性而廣受歡迎，卻也因此暴露了會話劫持和令牌泄露等問題。

自2010年后，云計算的崛起使API成為企業的核心數字資產，然而，企業API清單管理的滯后導致了大量影子API的存在，為攻擊者提供了可乘之機。利用這些未記錄或過時的接口，攻擊者能夠發起DDoS攻擊和敏感數據竊取，如2017年Equifax因API漏洞導致1.4億用戶數據泄露的事件。

隨著Bot技術的成熟，惡意爬蟲通過批量調用API接口，進一步加劇了安全威脅。例如，2019年某社交平臺因缺乏反爬機制，導致5億用戶信息在暗網上流通。在此期間，API攻擊流量的增速達到了普通流量的三倍。

如今，以生成式AI為代表的新AI時代已經到來，企業通過API調用大模型已成為趨勢。在此背景下，云服務商承擔了大模型底座安全、應用訪問以及數據合規安全的責任，但企業仍需關注API調用和數據外發的安全問題。

Akamai的研究顯示，2023年1月至2024年6月間，亞太地區記錄到1080億次API攻擊，占所有Web攻擊的15%。在中國，企業對API安全的重視程度極高，將“保護API免受攻擊”列為網絡安全的第一要務，遠超其他國家。

然而，盡管中國企業對API安全的重視程度較高，但在實際操作中仍存在諸多挑戰。例如，API錯誤配置、網絡防火墻和API網關未能有效攔截攻擊、授權漏洞以及生成式AI工具暴露等問題頻發。其中，API錯誤配置漏洞最為常見，占比達到22.3%。

從API攻擊類型來看，注入攻擊、越權/未授權訪問以及DDoS攻擊是當前主要的攻擊手段。以DeepSeek為例，該大模型在火爆出圈后不到一個月內就遭遇了多次大規模DDoS攻擊，包括HTTP代理攻擊和僵尸網絡攻擊等。

面對日益復雜的API攻擊手段，企業應如何應對？Akamai北亞區技術總監劉燁建議，企業首先需要就API安全事件的原因、影響及處理優先級達成共識，并在此基礎上分步構建持久的API安全策略。

具體來說，企業應從API發現和監測能力入手，利用自動化工具全面清查API資產。同時，完善API測試，確保API編碼能夠實現預期功能，并在部署前和生產環境中進行測試。對API進行充分記錄，審核API環境以識別配置錯誤或其他問題，并確保每個API都得到充分記錄，以滿足合規要求。

在運行時檢測方面，企業應利用API安全解決方案的自動運行時檢測功能，區分正常和異常的API活動，并實時檢測威脅行為。通過與現有的安全產品組合（如WAF或Web應用程序和API保護）集成，企業能夠發現高風險行為并在可疑流量抵達關鍵資源之前進行攔截。

在API安全防護更為成熟的階段，企業還應對過往的威脅數據進行取證分析，了解系統是否正確識別不同的威脅并觸發相應的告警，并確認是否出現了新型攻擊模式。通過結合先進工具與人類智慧，企業能夠主動搜尋威脅，確保API安全。