近日，Data Theorem發(fā)布了免費(fèi)的API攻擊面評(píng)估工具，可幫助安全團(tuán)隊(duì)了解潛在的API風(fēng)險(xiǎn)暴露。此次Data Theorem發(fā)布的API攻擊面評(píng)估工具對(duì)API發(fā)現(xiàn)沒(méi)有幫助，但它為安全團(tuán)隊(duì)提供了一個(gè)全面了解其API如何影響企業(yè)組織的機(jī)會(huì)，徹底了解企業(yè)組織所使用的API類(lèi)型，將有助于安全領(lǐng)導(dǎo)者構(gòu)建現(xiàn)代API安全程序。

　　該評(píng)估工具通過(guò)七個(gè)問(wèn)題，包括詢(xún)問(wèn)企業(yè)組織是否有用于公共Web和移動(dòng)應(yīng)用程序的API、正在使用的API類(lèi)型（REST、GraphQL等）、企業(yè)組織使用的公共云和云服務(wù)、開(kāi)發(fā)人員依賴(lài)的Web應(yīng)用程序框架，以及哪些監(jiān)管和合規(guī)標(biāo)準(zhǔn)適用于企業(yè)組織等，并在不到五分鐘的時(shí)間內(nèi)根據(jù)提供的答案執(zhí)行一級(jí)安全分析。

　　API（應(yīng)用程序編程接口）對(duì)于現(xiàn)代互聯(lián)網(wǎng)至關(guān)重要，因?yàn)樗鼈兇龠M(jìn)了應(yīng)用程序之間的通信，例如數(shù)據(jù)傳輸。隨著開(kāi)發(fā)人員越來(lái)越依賴(lài)API，實(shí)現(xiàn)跨Web、移動(dòng)和云原生應(yīng)用程序新功能的開(kāi)發(fā)，攻擊者也在利用API的普遍性來(lái)破壞企業(yè)組織并提取數(shù)據(jù)。

　　Gartner在最近的一次網(wǎng)絡(luò)研討會(huì)上指出，到2022年API攻擊將成為最常見(jiàn)的攻擊媒介，導(dǎo)致企業(yè)Web應(yīng)用程序的數(shù)據(jù)泄露。企業(yè)安全團(tuán)隊(duì)面臨著管理和保護(hù)這些應(yīng)用程序架構(gòu)的艱巨任務(wù)。