API：连接我们所有人的攻击面

互联网在随机干扰面前具有很强的弹性和自我修复能力，但容易受到人为错误的影响。

你越接近应用层，尤其是人为层，你就越想知道这个东西是如何运作的。近年来，尤其是勒索软件，备受瞩目的网络攻击变得越来越频繁和普遍。然而，除非你依赖燃料、牛排、飞机旅行或数据备份等荒谬的东西，否则你不应该担心。

本文重点关注 API 安全性，如果您对 API 有过一段时间的了解，您就会知道安全性通常是事后才考虑的。

安全开发API（即人员）

在考虑允许软件组件相互通信的 API 时，还必须考虑安全和开发团队之间的接口。

安全和开发从未真正共享过一种共同语言，部分原因是他们拥有不同的经验、词汇和目标。然而，这种紧张的关系正变得越来越重要，尤其是在不可避免的压力下，他们需要提供更多功能、更快地发布，并采用“DevOps”旗帜下的最新工程趋势。必须改变什么才能实现更多的一致性？

下一步是什么？

价值实现时间（或首次价值实现时间，TTFV）是产品管理中使用的术语，表示新客户或潜在客户从您销售的产品或服务中获得价值所需的时间。显然，目标是“尽可能快”。我们必须减少新安全从业人员的价值实现时间。

针对目前违规的范围和影响，杰里迈亚·格罗斯曼认为，这并不是因为攻击策略得到了改进，而是因为敌人比信息安全部门更擅长招募和培训入门级职位。

API 保护

与全球沟通

API 无处不在。您可以肯定，互联网上可访问的每个应用程序或服务都以某种方式由 API 支持。如今，API 支撑着移动应用程序、物联网 (IoT)、基于云的客户服务、内部应用程序和合作伙伴应用程序等。

除了 API 带来的安全问题外，速度也是需要考虑的问题。由于 API 流量从源服务器卸载到 CDN 端的边缘服务器，Akamai 会定期观察 API 的性能提升。这种安排加快了可访问性并保证了可用性。

然而，一个问题正在凸显。使用传统网络安全解决方案保护 API 的组织最多只能获得平庸的结果，甚至根本没有效果。这是因为传统网络安全标准只能做到这么多。

与网站和在线应用程序相关的大多数危险也适用于 API，但必须独立处理。

API 大大增加了企业必须防范的威胁面。因此，防御和开发组织必须付出更多努力来解决这些问题领域。

到 2021 年，90% 的支持 Web 的应用程序将以公共 API 而非用户界面的形式拥有更大的攻击面，这一数字高于 2019 年的 40%。

好消息是，企业高管和安全团队已经采取了更强大的 API 安全态势。然而，扩展的可能性仍然很大，犯罪分子肯定会利用 API 安全漏洞。

下载 Akamai 的白皮书以了解有关 API 的更多信息：仅在在线白皮书中连接的我们所有人的攻击面。