全方位 API 安全措施的采用落后于需求
根据 SANS 研究所最近开展的一项研究,尽管针对应用程序和 API 的威胁数量不断攀升,但大多数企业仍未采用覆盖范围广的 API 控制措施。
明显缺乏 API 安全测试工具
2023 年 SANS API 安全调查发现采用 API 安全 测试工具的受访企业不足 50%。采用 API 发现工具的公司数量则更少,只有 29%。不仅如此,该报告还指出,分布式拒绝服务 (DDoS) 和负载平衡服务中包含的 API 安全控制措施尚未得到充分利用,只有 29% 的受访企业表示使用了这些功能。
考虑到攻击数量还在增加,这一调查结果着实令人担忧。正如 Akamai 在最近发布的互联网现状报告《钻过安全漏洞:应用程序和 API 攻击呈上升趋势》中所报告的那样,2022 年是应用程序和 API 攻击数量创纪录的一年。然而,如果考虑到 SANS 调查的受访企业认为其所面临的前几大安全风险是什么,那么再看到许多企业并未采用具有全方位覆盖面的 API 工具这一调查结论,您或许也就不足为奇了。
该报告发布于 2023 年 7 月,所调查的 231 家受访企业绝大多数来自美国。78% 的受访企业目前从事的是应用程序安全领域的相关工作,另有 15% 的受访企业预计未来会涉足该领域。
API 风险尚未受到重视
在问及企业面临的三大风险时,大多数受访企业都认为是“通过网络钓鱼获取可重复使用的凭据”,其次是“攻击者利用缺失的修补程序”和“攻击者利用易受攻击的应用程序或 API”。加权排名的最后一项是“配置错误的服务器或服务”。显而易见,尽管许多企业了解 API 可能带来的风险,但他们并未优先考虑将投资用于此处。
多种安全控制措施和流程
SANS 研究所新兴安全趋势总监 John Pescatore 在报告中写道:“发现、评估和抵御 API 风险是一个复杂的问题,需要多种安全控制措施和流程来提供全面的防护。当前被广泛使用的应用程序级工具只能提供部分防护,而可提供全方位防护的 API 安全控制措施却尚未得到广泛使用。”
了解 API 的运行方式及数量
该 SANS 报告还指出,许多企业甚至对其内部环境中运行的 API 数量都不怎么了解。超过三分之二的受访企业估计,他们生产环境中 API 清单的准确率低于 75%。
多年来,许多企业一直在努力获得准确的资产(包括网络、计算机和应用程序)清单。他们需要花费更多精力去了解 API 的运行位置和数量。该报告还指出,“……由于易受攻击的 API 正在成为最常见的攻击入口点,因此应提高 API 清单准确率以及执行 API 发现的频率”。
购买者正在从多个方向实现 API 安全防护
在获取新工具来封堵 API 安全漏洞方面,受访企业的回答并不一致。在问及受访企业计划在未来两年内计划实施哪些目前尚未使用的解决方案时,他们的回答五花八门:
- 安全 Web 网关 (14%)
- 动态应用程序漏洞测试 (13%)
- Web 应用程序防火墙 (13%)
- 内容交付网络中的 App/API 安全功能 (13%)
- API 安全测试 (12%)
- API 发现 (10%)
随着购买者寻求多种不同的应用程序和 API 安全解决方案,像 Akamai 这样能够提供综合解决方案的供应商也变得更具吸引力。如果某供应商不仅能满足企业的爬虫程序管理、Web 应用程序防火墙等各种需求,而且还是涉足多个领域的强大服务企业,那么企业也能因此受益匪浅。
扩展检测和响应技术
此外,使用扩展检测和响应 (XDR) 的新兴技术可监测所有 API 活动,确定风险态势,以及了解正常和滥用行为,进而阻止威胁,这也带来了显著的 API 防护优势。
Akamai 最近对 Neosec 的收购 使 API 防护能力更上一层楼。如今,通过将(最低)30 天的 API 活动分析和 Akamai 内容交付网络提供的监测能力相结合,企业可获得无与伦比的 API 行为分析水平。
在介绍新发布的 OWASP 十大 API 安全风险时,SANS 的调查结果还提供了有趣的背景资料,为其清单增添了几项新风险,包括不受限制的资源消耗和 API 的不安全使用。
在框架方面达成共识
对于 OWASP:该调查切实表明,受访企业在安全专家认为有价值的框架方面达成了一些共识。超过一半的受访企业引用 OWASP 十大 Web 应用程序安全风险 (55%)、 MITRE ATT 和 CK 框架 (55%) 以及 OWASP 十大 API 安全风险 (52%) 来定义应用程序或 API 风险。 云安全联盟 (40%) 以及 CIS Controls (33%) 分列前五。
开发人员安全培训仍是首要任务
该报告还发现,总体而言,许多企业依然很重视为开发人员提供安全培训:超过 75% 的受访企业表示其公司为开发人员提供了安全培训。另一方面,该报告还发现,超过 70% 的受访企业声称其安全团队中至少有 25% 的员工接受了应用程序安全培训。
监测和防御
Akamai App & API Protector 可为 Web 应用程序和防火墙防护、爬虫程序管理、API 安全以及 DDoS 防护提供全面的应用程序和 API 解决方案,使企业除了具备强大的防御能力之外,还能监测其内部环境中的威胁。该解决方案可以快速识别漏洞并抵御整个 Web 和 API 资产中的威胁,即使对于更为复杂的分布式架构也能奏效。
