破解数智时代API安全困局, 看Akamai如何为企业护航保驾!

[ZOL中关村在线原创专访]随着数智化演进，应用程序接口（API）已成为连接各类应用与系统的纽带，其使用广度与深度持续拓展。数据显示，全球API流量占比已高达71%，企业平均管理的API接口数量达613个；在国内，得益于GSMA开放网关及14家运营商的推动，中国不仅以94%的市场份额领跑全球网络API市场，更在游戏、金融等领域加速部署按需配置的优质商业化API，展现出强劲的发展动能。

然而，API的大规模应用也伴随着日益凸显的安全挑战。激增的接口数量、潜藏的影子与僵尸API、敏感数据明文传输隐患，以及隐蔽的异常访问行为等“不可见风险”，正持续威胁企业数据安全。这意味着，API既是驱动业务增长的关键引擎，也可能成为破坏业务的潜在漏洞。因此，企业若想在数字化时代筑牢网络安全防线，构建完善的API安全防护体系已成为不可或缺的核心环节。

刘烨，Akamai北亚区技术总监

那么，企业该如何构建API安全防护体系，又该采用哪些安全策略呢？近日举办的2025MWC上海大会上，围绕网络API发展趋势的讨论成为业内焦点。Akamai北亚区技术总监刘烨结合自身在该领域的长期观察与客户实践，提出了关于构建API安全防护体系的新思路，为企业破解API安全防护难题带来了全新思考。

网络安全的又一战场，为何API安全愈发重要？

API（ApplicationProgrammingInterface，应用程序编程接口）是一组规则和协议，定义了不同软件应用或组件之间的沟通与交互方式。它如同中间件，让开发者能访问和使用特定功能或数据，无需深究背后的实现细节。随着企业数字化转型的推进，一项研究显示，API数量较去年增长了82%，这也使得API安全成为未来“网络安全新战场”，这一论断并非空穴来风。

Akamai新近发布的针对亚太地区的深度研究报告《2025年API安全影响研究》（以下简称报告）就印证了这一点。报告指出，过去一年多来，亚太地区的API攻击呈快速增长态势。攻击者利用API的开放性和互联性，通过SQL注入、跨站脚本攻击、恶意数据请求等手段，企图窃取敏感信息、破坏系统功能或瘫痪业务运营。报告还指出，85%的企业在过去12个月内遭遇过API安全事件。其中，国内企业的遭遇API安全事件比例为83%，而解决API安全事件的成本更是高达5,687,373元。

更值得关注的是，尽管亚太地区92%的高管表示其组织在过去一年遭遇过API安全事件，但仅有37%的受访者确认清楚哪些API暴露了敏感数据。这表明，即便人们对API漏洞的认识在提升，整个亚太地区的高层领导和安全团队对API安全的重视程度却未同步跟进，进而导致了代价高昂的API攻击频发。中关村在线认为，各企业迫切需要就API安全在网络安全优先事项中的地位达成共识。

安全迫在眉睫，企业应该如何应对API安全？

在API安全面临严峻挑战的当下，企业亟需构建全面有效的API安全策略，以此守护关键数据、客户关系及内部团队。中关村在线认为，这一过程的首要任务，是在API安全事件的成因、影响及优先级上形成共识。这就要求企业强化内部沟通与培训，着力提升高管层对API安全风险的认知深度，让其清晰认识到API安全事件可能对企业战略布局与业务运营造成的潜在冲击。

而在完成认知层面的革新后，具体防护措施的落地同样关键。Gartner分析师建议，企业可通过API的发现与分类实现有效安全防护。刘烨认为，企业应当优先考虑构建持久的恢复能力，包括全面清点API、定期进行测试以确保API编码正确、实施运行时检测以区分“正常”和“异常”API活动等。具体来看，企业需系统性构建API安全防护机制：

第一步是持续开展API发现，特别是识别出“三无API”，这些是攻击者最容易利用的盲点；在此基础上，需建立威胁管理系统，定期汇总风险、漏洞以及修复进展，帮助管理层全面掌握安全情况。即便接口在发布前已进行了充分测试，仍需部署运行时保护能力以实时拦截潜在攻击。最后，应强化主动测试。建议企业结合OWASP和MITRE等框架开展自动化API测试，将问题前移至开发阶段，从源头上增强安全韧性。

这些防护举措，正是应对API安全挑战的抓手。当前，API已成为全球重要IT基础设施的基石，其安全与否直接关系到企业的稳健发展。正因如此，深入了解API安全风险、主动采用如Akamai提供的API安全解决方案这类适配的防护手段，不仅能帮助企业构筑坚实的API安全防线、确保API安全，更对维护企业整体安全、保障业务正常运行乃至推动企业可持续发展具有至关重要的意义。

应对API安全，Akamai打造丰富的解决方案

应对API安全问题，企业不仅需深刻认识其重要性、构建完善的API安全防护机制，更要选用适配性强的API安全解决方案。正如刘烨在演讲中所坦言的，Akamai的解决方案与Gartner分析师提出的“通过发现和分类API实现有效安全防护”理念高度契合。那么，这些解决方案具体包含哪些内容？又能为企业带来怎样的实际效果呢？

其中，Akamai的APP&APIProtector是一款强大的WAF解决方案，可帮助企业快速识别漏洞并抵御复杂威胁，为Web和API架构提供全面保护。它通过两个AI驱动的自适应安全引擎和一个行为DDoS引擎，提升检测效率和准确性。

另一重要方案是Akamai的APISecurity，它利用AI技术自动发现组织内所有在用的API，并检测敏感数据、访问行为及业务逻辑。该方案提供针对OWASP十大API风险的检测和防护，帮助组织实现高效合规与风险管理。并且整合了Akamai于2024年收购的专业API安全公司NonameSecurity的先进技术。

“简而言之，App&APIProtector（AAP）专注于保护Web和API环境中已知且常见的应用层漏洞，而APISecurity则致力于防御API特有的滥用行为和业务逻辑漏洞。”刘烨如是说。

据刘烨介绍，敦煌网（DHgate）通过部署Akamai的APISecurity，AppAPIProtector以及BotManager，在整个API生命周期中实现了API可视化与高效保护，且无需对现存的应用架构进行重大修改。

写在最后

随着全球企业数字化转型的进一步推进以及各行业对高效数据管理和系统集成需求的增加，应用程序接口（API）将迎来进一步爆发，其安全性将得到进一步重视，对于企业而言，进一步加强API安全防护也变得尤为重要，采用API安全防护策略也将为企业务的健康运行提供必要的保障。

面向未来，随着技术手段的持续进步、企业API安全意识的不断提升，以及以Akamai为代表的企业在API安全领域的深耕研发与投入，企业API安全防护将得到进一步加强与完善，为企业的数字化转型和创新发展筑牢坚实可靠的保障基石。