API 无疑改变了企业的运营方式。API 使企业能够更轻松地推动技术进步。这可以实现更快速的创新，这当然也是客户的需求。

API 也给安全团队带来了许多不同的挑战。API带来了额外的风险。这些风险给企业带来了新的威胁并可能造成严重损害。

大多数安全专业人员都了解保护 API 安全的必要性，并且愿意这样做。不幸的是，由于多种原因，说起来容易做起来难。鉴于此，安全专业人员可以采取哪些步骤来更好地保护他们的 API？

虽然可以采取很多步骤，但在本文中，提出了对帮助保护API的10个步骤的想法：

API 可见性和发现：这似乎是显而易见的，但在确保 API 安全之前，必须先了解它。由于多种不同的原因，API 端点通常是在 IT 或安全团队不知情的情况下创建的。发生这种情况时，这些 API 就不属于资产管理的一部分，而且它们也不会适当地受到安全性和合规性策略和控制的约束。因此，API 可见性和发现是 API 安全的第一步。

架构验证：使用无效或不正确的输入来破坏或滥用 API 是攻击者的一种流行技术。确保基于有效输入和输出的正确 API 行为是整体 API 安全方法的重要组成部分。要求所有 API 请求和响应符合架构和所有规范是保护这些 API 免受攻击和破坏的重要一步。

策略执行：正确定义的智能安全策略是一件好事，但如果不严格执行，它们就无效。实施 API 安全策略是保护 API 安全的另一个重要步骤。

保护敏感数据：个人身份信息 (PII) 等敏感数据的泄露是由于 API 安全性较差而导致的重大风险。保护敏感数据不仅涉及确保 API 正确编码和保护，还涉及验证敏感数据不会无意或不正确地从 API 传输或泄漏，这是保护 API 的另一个重要步骤。

滥用和DoS保护：在考虑防御拒绝服务 (DoS) 攻击时，重要的是要记住应用层（OSI模型的第7层），而不仅仅是第3层和第4层。攻击者会进入第7 层并始终寻求攻击，因此第7层针对滥用和DoS的保护成为保护API安全的重要一步。

攻击防护：防止尝试真实的、新颖的方法来破坏和利用API至关重要。采取重要步骤，利用基于签名、基于异常和基于 AI/ML 的技术来防御各种攻击。

访问控制：不正确的访问控制（包括身份验证和授权）仍然是困扰 API 的主要问题之一。无论是由于疏忽、人为错误、仓促还是任何其他原因，对 API 访问的不当控制都可能造成灾难性后果。身份验证发现服务（允许发现身份验证差距）、身份验证实施和 API 访问控制都是保护 API 安全的重要步骤。

恶意用户检测：AI/ML 的一项有用应用是研究、分析客户端与 API 交互的行为并得出结论。作为整体 API 安全方法的一个步骤，检测和缓解那些看似恶意的用户可以帮助保护 API 免受攻击、危害和破坏。

配置和管理：API 的不正确配置和管理所造成的违规行为远远多于应有的情况。确保 API 不配置错误和/或管理不当是保护 API 安全的另一个关键步骤。

行为分析：对从应用程序的端点和 API 收集的各种日志进行行为分析是 AI/ML 的另一个良好应用，也是安全 API 时的另一个重要步骤。这是一个迭代过程，随着时间的推移持续进行，并不断更新、改进和磨练。

虽然 API 可以加速创新，但它们也可能给企业带来新的威胁。保护 API 的安全是一个崇高而复杂的旅程。安全专业人员可以利用各种方法（包括上述 10 个步骤）来帮助保护他们的 API。