当你访问交易网页时，点击不明链接，接着页面被劫持跳转到骗子网站，结果产生个人信息损失和财产损失。这种情况的发生是因为你点击了链接，登录即意味着给该网站授权API（应用程序接口）使用权，有了API使用权，攻击者可以访问和调用数据进行其他违法操作。

在日常生活中，随着应用程序的爆炸式增长，API接口伴随着我们留下的每一次互联网足迹。线上购物、银行交易、就医挂号、在线求职等等行为都需要访问和控制API接口，这意味着，如果没有安全的API服务，工作和生活将随时暴露在风险中。

API也是企业数字化业务的基础，在企业数字化转型的浪潮中，它成为黑客和恶意攻击者的首要目标，在攻击下产生的未授权访问、越权问题、数据窃取、资源耗尽等问题都是企业经常面临的安全难题。再加上云计算和物联网的普及，云服务提供商和物联网设备安全防护较弱，API安全威胁不断增加。

作为API安全领域的深耕者，F5致力于应用程序安全防护，保护企业数据和用户隐私。F5自成立之初就旨在解决应用大爆炸问题，擅长解决和应对与应用性能有关的大流量、大并发等场景。

在F5的“现代应用安全，构建数字安全新防线”主题媒体沟通会上，F5安全事业部总经理兼金融及企业事业部技术总监陈亮，向大家介绍了F5在应用安全方面的前瞻性思考和布局。

F5安全事业部总经理兼金融及企业事业部技术总监陈亮

日益增长的应用安全威胁

1月，F5安全运营中心（SOC）预测了2023年会出现的五大网络安全风险，包括：影子API将带来不可预知的漏洞、多重身份验证将失去效力、云部署故障排除将带来更多问题、开源软件库将成为攻击的主要目标、勒索软件将进一步扩张。

其中，影子API威胁着重被提及。F5认为，影子API代表了一种日益增长的风险，可能会导致大规模数据泄露，而受到侵害的组织甚至不知道这种风险的存在。许多企业发展至今，没有准确的API库存清单，生产中的API和受益于持续开发的API将会偏离于它们在清单中的原始定义。在这两种情况下都会出现组织不可见的公开API，这些API被称为“影子API”，而许多应用会通过“影子API”被攻破，而企业对这些API了解甚少，甚至毫无察觉。

此外，F5预测云部署故障将带来更多安全问题。在《2022应用保护报告》中，F5提到大多数云事件都与配置错误有关，通常是过于广泛的访问控制。许多云用户创建临时服务用户，然后通过内置身份和访问管理（IAM）策略或内联策略为其分配非常广泛的权限。这类临时的配置经常被遗忘，从而成为永久性配置，导致攻击事件发生。这种情况伴随着云应用违规频率的不断增加，规模不断上升，值得企业提高警惕来应对云上的应用安全。

F5如何应对应用安全的三大挑战

API正在迅速普及，2021年有11.3亿个请求通过以API为中心的开发者工具Postman提交。然而，根据Postman发布的API状况报告中显示，48%的调查对象承认每月要处理至少一次API安全事件。如此高频的安全事件导致应用安全面临愈发严峻的挑战。

陈亮总结，应用安全在这个时代面临三大挑战，第一，应用数量众多，如何保证每一个应用安全、稳定并得到相应的安全保障？第二，应用在部署时会采用云技术，在云中部署应用是否能保证安全如影随行，云上防护能力和本地数据中的安全策略能否保持一致？第三，现有的安全防护能力能否识别每一种API传输协议，针对每一个API接口实现可信和可控访问，对请求进行授权、认证、加密、防护。

F5如何应对上述三大挑战？陈亮表示，从宏观角度看，应用安全问题包含两方面，一是应用的增长，二是安全需求的增长。F5自身拥有多年积累的安全承载能力，并且这种能力具备高度可扩展性，保证每个应用的安全、稳定运行。

针对多变的API传输协议，陈亮表示“应用协议发生什么变化，我们就提供相应的安全保障。”他举例，API请求在发展过程中变化频繁，例如物联网协议希望更轻量、执行速度更快、传输字节数更小，相应的API传输协议会发生变化。而前端安全网关设备无法识别API传输协议变化时，也意味着它无法发现隐藏其中的安全攻击行为。但F5能够随着应用协议的改变来提供自适应的安全防护能力。

纵深防御、动态对抗的安全架构

纵深防御、动态对抗是F5为安全防护构建的整体安全框架。纵深防御，即所有的安全防护能力可以部署在任何位置，例如在边缘层、客户网络接入区、DMZ区、应用接入区等位置部署，进行层层纵深防御。

动态对抗即联合对抗能力，此前在纵深防御层面部署的F5安全服务，可以实现将发现的所以异常访问和请求行为，以遥测的方式传递给智慧大脑，进行人工智能和机器学习的分析。同时，F5的安全能力可以和企业所建的本地的数据中心建立的智慧大脑平台、大数据平台、安全感知平台联动，统一提供相应的安全态势感知和安全服务。

基于纵深防御动态对抗的安全架构体系，F5在安全防护上带来了以DNS安全、DDoS安全、BOT攻击识别、零信任接入，安全即服务编排引擎、WAAP能力、欺骗防御（蜜网），以及动态对抗为代表的八大价值。

陈亮表示，F5今年主推整体的解决方案，以“纵深防御、动态对抗”整体安全架构为基础，针对API安全可信访问做了大量方案整合。无论是外部的API请求还是内部的API调用，都可以从四个方面：接入控制、零信任访问授权、网络层面、应用层面，一层一层地进行过滤、识别和防护，保证企业享受API经济带来的机遇同时，还保障每一笔API请求的安全性。

凭借着过硬的安全防护实力，F5的安全产品和服务与企业深度链接，其整体安全架构得到企业的高度认可。在过去的2022财年，F5全球安全营收达到10亿美元，占比整体营收的37%。在当前的API经济浪潮中，整体的安全架构和安全防护能力产生大量质的变化，而F5凭借扎实的技术布局和有力的安全服务将牢牢占据领先地位。