根据Wallarm 2025年Q1威胁统计报告，70%的应用攻击针对API。行业不能再将API安全视为次要问题，而应将其作为核心议题。NIST似乎也认同这一观点，发布了NIST SP 800-228的初稿，这是一套关于API安全的建议规范。

背景：API、自动化与攻击速度

API不仅是应用架构的演进，更是服务构建、消费和安全方式的根本转变。与Web应用不同，API专为程序化访问设计。正是这种特性——状态保持、结构化、机器可读性——使其成为攻击者的理想目标。

AJ Debole（甲骨文现场CISO）指出：API降低了攻击的技术门槛。无需操纵浏览器流量或掌握代理工具，简单的curl命令或Python脚本就足以对API进行模糊测试。随着API与AI系统（特别是GenAI代理）的集成加深，API流量、复杂性和暴露风险呈指数级增长。

NIST SP 800-228的技术要点

NIST提出了22项推荐控制措施，可归纳为7个技术主题组：

1. API规范与资产管理
   基础原则：无法保护未知资产。必须建立实时API清单和规范定义，防止影子API成为易攻击目标。

2. 模式验证与输入处理
   需在运行时强制实施请求/响应模式验证。典型案例：某加密交易所因未验证令牌类型而被攻破。

3. 认证与授权
   虽然OAuth等改进了认证(authN)，但授权(authZ)仍是重灾区。许多API仍存在"自称管理员即可提权"的漏洞，NIST要求实现字段和方法级的精细访问控制。

4. 敏感数据识别与保护
   敏感数据不仅限于PII。某公司意外暴露网络安全保险单（含勒索软件赔付上限）的案例表明，需要超越简单关键词的数据分类策略。

5. 访问控制与请求流管理
   重点强化令牌泄露等异常场景下的API行为。需建立实时响应能力，例如按需阻断特定密钥或用户。

6. 速率限制与滥用防护
   NIST建议实施方法/用户/字段级的细粒度限速，防止云计算资源或LLM API被恶意消耗造成经济损失。

7. 日志与可观测性
   关键不在于日志收集，而在于响应能力。需建立日志分析与安全操作的联动机制。

Wallarm的技术实现

Wallarm平台与NIST标准深度契合，提供以下技术能力：

• 自动发现API并生成OpenAPI规范
• 实时模式验证和异常请求检测
• 识别身份验证漏洞、敏感数据暴露和BOLA等风险
• 细粒度速率限制
• 完整流量上下文分析

平台通过机器学习分析API流量模式，可识别90%以上的影子API，并将安全事件响应时间缩短至分钟级。对于金融科技客户，Wallarm特别强化了支付API的序列化攻击防护，成功拦截了83%的业务逻辑滥用尝试。

案例：某零售企业部署Wallarm后，API攻击面减少62%，误报率降低至0.2%，安全团队效率提升4倍。