由数字化转型和AI技术快速发展的双重冲动促进，API已成为商业公司和世界对外关系的神经中心。但是，详细的API应用程序继续增加对API的攻击的规模和复杂性。为什么API成为专注的黑客的进步？ API保护公司的常见方法可以处理日益智能的攻击吗？由于AI产生的快速渗透，将对API的安全进行哪些新变量？面对API的无限安全威胁，公司应该如何有效地解决它们？最近，Ruishu Information已正式发布了其“ API安全趋势报告”，并努力提供可以在各种行业中实施的API安全保护思想和解决方案，重点是API攻击，关键风险点和业务保护措施。作为中国最早获得认证的专业制造商之一RUISHU信息“本地云API的安全特征”近年来引起了与API安全有关的意见，提供了政府和商业用户的参考指南，以保护API的安全性。 1。在AI时代，API的安全改变了API的安全性，并达到了“紧急”步骤。该报告显示，API攻击贩运在2024年增加了162％以上 - 年龄。API攻击占所有网络攻击的78％，在2023年中占70％的显着增长。攻击者已从传统的Web应用程序转变为API接口，使用标准化和高频互动和高频率互动和其他功能和其他功能实施更有效的攻击。具体而言，本报告是当前API安全威胁的三个值得注意的特征：1。随着攻击量表的自动化工具的广泛使用，API攻击现在可以实现量表效应。该报告表明，现在一个工具自动化可以覆盖成千上万的API资产，并使用n平均通过Meshay罢工对业务API进行了230,000个恶意申请。此外，攻击的复杂性不断增加，攻击方法从简单的凭据演变为针对商业逻辑漏洞的精确打击。 2。技术智能技术的支持显着改善了API攻击的复杂性和隐藏性。根据报告数据，42％的API攻击开始使用AI技术来实现动态突变攻击属性。通过连续学习和实时变化，通过传统的WAF安全系统和API中的静态检测规则，这使得攻击更加难以预测和预防。 AI（LLM）产生的应用程序的爆炸性增长进一步扩大了API安全的挑战，API安全保护已进入智能攻击和防御的新阶段。在2024年，与LLM相关的API呼叫数量增加了450％，一年，远。X. xude企业率本身。这种新方案显着使业务API的安全控制。超过80％的组织尚未建立预防和安全控制的完整机制，并面临多种复杂的安全风险，包括身份身份验证，数据表达和快速注射。 3。影响链条供应链情景的API接口成为攻击者的输入命中率，风险是爆炸性的。根据该报告，攻击者正在使用供应链的API作为在商业合作伙伴中使用AP的攻击点。接口I缺陷或配置错误可能会以较低的成本快速打破公司的内部防御线。数据表明，攻击者通过单个API的水平运动的成功率达到61％。因为供应链的API包括多方合作，因此安全风险上游API并执行供应链的WNStream表现出明显的“链效应”，保护速度和响应的难度是一个重要的挑战。此外，该报告还表明，在2024年，API攻击在广泛的行业中的分布显示出更加平衡的梯度，金融业，运营商的Telecommunications和Electronic Commerce从中最为严重。同时，不同行业面临的主要攻击方案也不同。金融服务行业主要面临资本盗窃和欺诈性交易的威胁，而电信主要面临滥用资源和绑架帐户的威胁。在这种情况下，对于新的API攻击，传统的公司保护方案的识别率不到40％，这迫使公司诉诸于行为分析 + AI检测的联合防御模型。对于公司而言，API的安全保护处于关键阶段，“改变国防今天，当API成为商业数字化的中心时，保护点越来越无法应对供应链供应链的API的安全威胁。那么，公司应该做什么？通过在多种情况下以系统和全面的方式保护API的新技术和新的攻击模式，我们可以通过a-a-a-a-a-a-a-a-a-a-a-a-a-a-a-a-a-a-a prection prection prection prection prection prection prection，从而始终在各种情况下。API成为连接公司的生态系统和智能的“关键渠道”，也是攻击，防御和冲突的“边界位置”。随着由生成的AI驱动的自动攻击的持续演变，API攻击显示了多个跨越，智能更新和大规模传播的重要特性，但是传统的静态保护和发现的传统方法不再处理迅速变化的进攻和防御状况。该报告确定，大LLM模型应用程序的生态系统的爆炸性增长在相关API的数量中增加了，这带来了新的安全挑战，例如快速单词注入，数据过度暴露和上下文污染。我选择了。 API供应链中的风险继续起伏，攻击链变得越来越复杂。失去一个点会导致NIV侵入倍数并扩大整个安全性的安全性生态系统。当公司信任单个API或WAF网关时，很难打击动态突变，连锁传播和先进的联合攻击。该报告建议Ruishu的信息创建了一个真正有效的API安全系统。公司建议将以下“ 7分”：1。建立一个完整的API安全安全管理系统。 API的当前安全挑战超出了现有的安全外围。公司需要在整个生命周期中实施安全控制，从设计，开发，测试和运营中实施。在设计阶段实施了“安全的左更改”，并提前集成了安全评估。估计;在开发过程中将API安全扫描集成到CI/CD管中，以检测自动脆弱性。在测试阶段配置差异化试验计划，以专注于缺陷和过度曝光您的业务逻辑。在运营阶段，持续监视，业务分析和合并了主题检测，以防止新的威胁，例如逻辑商业滥用和长期长期攻击。 2。订购API安全基础的整体API资产是整体和精确资产的管理。 2024年的数据表明，未注册的API（“ Shadow API”）是安全事件的78％的入口点，在微疗养架构下，平均API资产增长率为67％。公司必须通过发现多维API，分类和自动标签，取决于API的映射以及对资产的持续监视，以避免通过继承的API和权限升起的Riesecurity Sgos来建立完整的API列表。 3。在2024年实施深层业务安全数据表明，商业逻辑攻击占所有API攻击的65％，而传统的技术保护却少于这些攻击的40％。商业流程风险建模，行为ABN的检测在多个步骤操作的范围内，特定领域的潜在漏洞，通过安全规则，状态迁移和授权，对API的序列分析。 4。加强对API的访问控制，身份验证，身份认证的推导和处境不利的访问是主要攻击方法，分别代表了总攻击的17.8％和13.5％，尤其是在微服务体系结构中。该报告建议通过组合多因素上下文的身份验证，精细的调整身份验证控制，代币的安全管理，最小化许可，用户的行为，设备的特征，地理位置位置和其他信息，以避免对API的风险滥用和降低API的风险。 5。建立特定S的LLM应用的爆炸性增长API LLM的生态保护已将LLM API的安全性转换为一个新的重要领域。 2024年的数据表明，针对LLM的特定风险的传统API安全工具仅占检测率的35％。该报告建议，对单词安全性的迅速审核，预防机密信息泄漏，模型的控制限制，资源消耗的管理，实际检测到快速注射词，以避免逃脱机密信息的逃脱，避免限制模型的执行范围，并保证高峰时间中核心业务的可用性和安全性。 6。建立API安全性和响应检测功能。低频长期攻击和平均26个。面对过去7天的复杂攻击链，公司必须建立强大的API安全检测和响应能力，包括实施长期深入检测长期行为分析和与攻击链接相关的分析的使用（可以识别多名协作攻击）。一种自动响应机制，可激活块，销售，延迟和警报处于风险水平。 7。随着THEAPI生态系统的扩展并增加供应链的供应链的安全控制（276％的增长）（276％的增长），公司必须增加第三方API的安全控制集成点，避免具有严格资格和关键管理的泄漏和滥用。在现实世界实施中，鲁舒（Ruishu）还提供了一套解决方案。以电信运营商为例。在2024年初，Integral Telecommunications运营商启动了一个新的数字服务平台，该平台涵盖了各种主要功能，例如用户信息咨询，procepackaging，发票付款，数值资源管理等，以及超过20亿个API呼叫。但是，该平台发布仅两个月后，API经常被异常的交通扫描和恶意发现。特别是在营销活动期间，短时间内的API呼叫数量增加，SMS验证代码的不寻常运输，包装的变化，高价值的商业订单以及一些异常分配的公司客户的资源数量，创造用户隐私风险和服务的可用性。从这个意义上讲，Ruishu的信息可帮助操作员管理平台API的安全问题，实现Ruishu API API控制和控制平台，并在四个方面实现目标的保护。 §首先，我们发现API资产的管理，网络数据链接的分析和建模以及数据链接建模，未记录230个API。 §第二是监视机密信息。这实现了手机号码，标识号，位置信息等的监视和分层识别，以避免泄漏和滥用。 §第三是API缺陷的识别。事实证明，有41％的商业API在其身份验证和授权链接的设计方面有缺陷。一些API可以使用低选民帐户避免权限验证。操作员通过建立API设计安全审查机制来消除开发阶段的潜在风险。第4节结合了多个级别检测方法，以检测攻击行为，攻击传统的Web攻击和商业逻辑例外，建立基准forapi呼叫，实施个性化检测规则，并提供来自异常批次的呼叫不符合商业逻辑的操作行为。快速识别。在实施风险API安全控制平台后的三个月内，电信运营商的API安全功能将显着改善，这提供了随后服务的安全和稳定操作的保证。 3。结论API已成为过去新一代的安全方法，但在商业数字化和AI的智能的背景下有风险。安全特性不再是一种选择，而是以前对业务数字化的要求，并且能够不断实施IA应用程序。在攻击量表，智力和供应链重叠之前，个人和静态点的塞特拉德式态度不再可持续。如何在不断改善视觉，可控和防御特征的同时快速发展API已成为公司创建D的核心问题igital“免疫”。只有通过在连续进化中建立动态和智能层中的API安全线，才能有效抵抗多年，多个云环境和开放生态系统中日益复杂的网络的威胁，从而维护关键的商业和中央数据。简而言之。将来，API的安全不仅将是技术保护，而且还将是确保公司弹性和行业创新活力的关键基石。