API、新“撞库”和零信任，新安全从智能边缘开始

随着数字化转型浪潮的深入推进，企业和信息安全也迎来了新兴挑战。根据全球智能边缘平台技术公司阿卡迈的调研报告：由于数字化转型而产生的大量App，高达83%的网络流量已经转换为API调用，API流量正成为新的攻击面;“撞库”攻击(攻击同一个用户在不同网站类似的帐户和密码)高企，全球的零售网站在2018年5月到12月经受了超过100亿次的“撞库”。而新型云和互联网攻击，也对企业建立“零信任”网络带来新的挑战。

“现在的网络安全防护不仅仅是企业自己业务的网络防护。同时，还需要云上的边缘防护战略，才能够应对互联网的新型大范围、大批量网络攻击。”这是阿卡迈亚太区云安全区域副总裁Unmesh Deshmukh在2019年4月26日的“企业安全‘新’技术峰会”上所强调的。作为全球最大的云和边缘计算交付平台公司，阿卡迈每天分发超过50TB/秒的Web流量，因此比任何其它厂商都更早地发现和意识到了新安全态势。

(阿卡迈亚太区云安全区域副总裁Unmesh Deshmukh)

作为全球最大的第三方独立CDN交付商，阿卡迈在全球130多个国家部署了近24万台服务器、连接近1600个超大型骨干网络和中小ISP等，帮助互联网公司、云公司、电信运营商和企业等就近向用户交付互联网内容和APP应用等。随着云时代的安全挑战兴起，阿卡迈的云安全、企业安全和网络及移动性能解决方案等逐渐丰富并且营收猛增。阿卡迈区域副总裁暨大中华区总经理李昇强调，新时期的企业安全必须要从边缘计算的防护开始，形成无处不在的安全堡垒。

(阿卡迈区域副总裁暨大中华区总经理李昇)

API攻击：云安全的新挑战

自2014年开始，阿卡迈就开始调查互联网上的HTTPS流量中，有多少是HTML流量，有多少是API流量。所谓API流量，就是各类移动应用程序、企业级SaaS云应用等通过互联网对后端云服务的调用。之前，互联网上流经的多为人为点击和调用的媒体内容，而2014年前后开始大规模兴起的云计算为互联网增加了海量的应用程序，这导致了由程序自动调用的API流量成为新兴互联网承载流量。

2014年的时候，阿卡迈估算互联网上47%的流量为API调用，主要包括json和xml两种内容形式;到了2018年的时候，互联网上高达83%的流量为API流量。阿卡迈认为这是一个重大信号，也是整个企业和信息安全产业的分水岭。承载API流量的主要为ESSL服务(Enhanced SSL)，为满足支付卡产业数据安全标准(PCI-DSS)的网络，主要服务零售和金融机构等。阿卡迈专门部署了独立的网络，提供额外的控制手段以承载符合监管和合规要求的ESSL流量。

在新兴的API流量中，json占据了绝大多数。json是Javascript语言，为一种轻量级数据交换格式。根据软件开发工具公司JetBrains的“2018年中国开发者生态报告”，64%的受访者选择Javascript作为最常用的编程语言，而不论是在中国还是全球，Java和Javascript都是最受欢迎的编程语言。而在阿卡迈的调查中，以json为代表的API流量主要集中在媒体、企业、游戏、高科技、电商等行业。其中，媒体行业的API流量最高，几乎占据了63%的API点击;次高的API流量则来自高科技行业。

然而，并不是所有的现有安全工具都能应对针对API的威胁，特别是那些不能把json流量纳入监控范围或忽视了json流量。关于API的攻击，李昇强调，API本身是由原生APP发起的请求，不是通过人机交互、浏览器/点击/翻页/进入而产生的请求，API请求能够形成高频请求，而且带有更多的参数。现在很多原生应用APP的后台不是传统的网络服务器而是微服务，可以通过API的表达式进行操控，比如增加参数的数量以及增加嵌套的层数，导致攻击请求到达后台后对资源的消耗更大。而从黑客角度来说，希望用最低成本达到最大化结果，也就是把计算资源快速耗尽，所以API攻击的危害更大，而传统的防范手段已经不适应于针对API类型的攻击。

2018年9月，阿卡迈发布的一项针对亚太区的调查显示：此前的一年中，亚太区企业的Web应用平均遭受大约4次DoS攻击，遭受攻击之后的平均宕机时间为7.45小时，而仅仅是抵御一个DoS攻击所花的时间就超过1小时。在数字化转型的过程中，企业正在大规模利用API来推动新的客户体验并创造新的收入来源，阿卡迈认为API的保护需要采用面向治理、管理和安全性的专用解决方案，阿卡迈现在支持API流量自动保护、Web应用程序防火墙上的新攻击组以及API网关解决方案中的高级节流功能。

“撞库”升级：各行业的大隐患