應用程序編程接口（API）實際上是現(xiàn)代應用程序的構建塊,，對于構建和連接應用程序及網(wǎng)站都是十分必要的存在,。如今，應用程序開發(fā)中的API使用已成為新的實踐標準,，通過集成第三方服務的功能，開發(fā)人員不用再從無到有自己構建所有功能,，這樣一來可以加快新產(chǎn)品及服務的開發(fā)過程,。

近年來，API的使用更是呈現(xiàn)爆炸式增長,。根據(jù)Akamai的說法,，API通信現(xiàn)在占所有互聯(lián)網(wǎng)流量的83％以上。

盡管API支撐著用戶早已習慣的互動式數(shù)字體驗,，是公司數(shù)字化轉型的基礎,，但由于API的防護薄弱，同時也為惡意黑客提供了訪問公司數(shù)據(jù)的多種途徑,，成為攻擊的主要目標之一,，特別是惡意機器人攻擊。

根據(jù)Perimeterx最新調查數(shù)據(jù)顯示,，通過API端點進行登錄嘗試的流量中,，高達75%都是惡意的。攻擊者正在系統(tǒng)地使用機器人進行惡意登錄嘗試,。那么如何保護API免受機器人侵擾和攻擊呢,？下文將為大家介紹API 機器人檢測和防護的有效方法,。

 API機器人攻擊不斷增長 

API允許開發(fā)人員更輕松地訪問、重用和集成功能資產(chǎn)和數(shù)據(jù),，從而將敏捷性,、速度和效率引入開發(fā)流程。這也導致了越來越多的組織過度依賴API,，開始部署越來越多的API來幫助實現(xiàn)自身的數(shù)字化轉型計劃,。

API流量不斷增長，但惡意API流量卻增長得更快,。數(shù)據(jù)顯示,，Salt Security客戶每月的API調用量增長了51％，而惡意流量則增長了211％,。

API經(jīng)常面臨機器人網(wǎng)絡攻擊的風險,，如拒絕服務（DoS）和分布式拒絕服務（DDoS）攻擊、內容和敏感信息抓取,、梳理攻擊以及賬戶接管等,。

根據(jù)Salt Security于去年2月發(fā)布的報告顯示，2020年有91％的公司存在與API相關的安全問題,。其中,，最常見的是漏洞，涉及54%的受訪組織,；緊隨其后的是身份驗證問題（46%受訪者）,、僵尸程序（20%受訪者）以及拒絕服務（19%受訪者）。

此外,，98% 的組織宣稱發(fā)生過針對其應用程序/網(wǎng)站的攻擊,，而82% 的組織報告說這些是機器人網(wǎng)絡攻擊。一些組織每月至少面臨一次 DoS/DDoS 攻擊或某種形式的注入或屬性操縱事件,。

但糟糕的現(xiàn)實是,，超過四分之一的組織正在沒有任何安全策略的情況下運行基于關鍵API的關鍵應用程序。例如,，Peloton最初就是可供任何人在任何地方通過API訪問用戶數(shù)據(jù),，而無需任何身份驗證。

 API機器人攻擊日盛的推動因素 

40%的組織報告稱,，由于API的存在,，超過一半以上的應用程序暴露在第三方服務或互聯(lián)網(wǎng)上；

基于機器人的API攻擊更容易編排,，因為僵尸網(wǎng)絡隨時可供租用,；

傳統(tǒng)的檢測和預防技術，如速率限制,、基于簽名的檢測,、阻塞協(xié)議等,，被發(fā)現(xiàn)無法抵御高度復雜的API機器人攻擊；

惡意行為者正在系統(tǒng)地利用機器人,，組織通常很難區(qū)分人類活動和機器人活動,，以及區(qū)分好的和惡意的機器人，這嚴重限制了他們保護API免受機器人攻擊的能力,；

API請求不經(jīng)過瀏覽器或原生應用程序代理的傳統(tǒng)路徑,；它們充當可以訪問資源和功能的直接管道。這使得API成為攻擊者有利可圖的目標,；

通常,，開發(fā)人員使用API的標準/通用規(guī)則集，而不考慮業(yè)務邏輯,。這就為API敞開了業(yè)務邏輯漏洞的大門,，這些漏洞經(jīng)常被機器人利用來造成嚴重破壞。

 如何保護API免受機器人攻擊影響,？ 

收集情報,，建立正常行為的基線

為了有效地保護API免受機器人攻擊影響，組織需要確定什么是可接受的正常行為,，以及什么是異常行為,。為此，組織的安全解決方案必須監(jiān)控API流量,，并通過指紋,、行為、模式和啟發(fā)式分析,、工作流驗證,、全局威脅源、網(wǎng)絡響應時間等收集情報,。這些見解必須與內部和外部的信譽源相結合，以建立人類和機器人行為的基線,，以及在機器人行為中,，區(qū)分什么是好的和壞的行為。

這個過程必須是持續(xù)的,，因為數(shù)字領域正在迅速發(fā)展,；攻擊者正在不斷利用復雜的技術，以確保機器人能夠模仿人類行為,。組織需要不斷地針對API安全性重新校準哪些是可接受的和惡意的行為,。

持續(xù)監(jiān)控API請求

根據(jù)基線模型細粒度地監(jiān)控所有API請求。API中的機器人檢測過程需要智能（使用自學習AI,、深度分析和自動化）且靈活,，以確保實時機器人活動檢測的敏捷性,、速度和準確性。此外,，持續(xù)的監(jiān)控和記錄同樣至關重要,。

部署即時的惡意機器人緩解技術

為了保護API免受機器人攻擊，組織不能停止實時檢測,，必須能夠阻止惡意機器人訪問API和API經(jīng)常暴露的關鍵任務資產(chǎn),。為此，智能API機器人管理解決方案可以即時,、智能地對抗最復雜和最隱秘的惡意機器人,。

智能API機器人管理工具根據(jù)實時洞察和信號決定是否允許、阻止,、標記或質疑傳入的API請求,。結合一個可靠的錯誤管理系統(tǒng)，這有助于最大限度地減少誤報和漏報,。換句話說,，它們有助于為惡意機器人和惡意行為者訪問API、非法流量和良性機器人增加摩擦力,。

實施零信任架構

采用零信任架構,，其中每個用戶都必須證明自己的身份，并根據(jù)其角色和執(zhí)行必要操作所需的范圍內給予訪問權限,。不受限制的,、未經(jīng)檢查的權限和特權都不利于API安全，特別是針對諸如憑證填充和暴力攻擊等機器人網(wǎng)絡攻擊,。此外,，組織還可以實施基于角色的強大訪問控制、強密碼策略和多因素身份驗證,。

自定義規(guī)則集

根據(jù)上下文智能定制規(guī)則集,，以防止機器人利用API中的業(yè)務邏輯缺陷和其他漏洞。此外,，請務必在獲得認證的安全專家的幫助下,，準確地定制安全策略。

更多信息可以來這里獲取==>>電子技術應用-AET<<