研究表明,API 威胁日益加剧,安全团队深受其扰
Akamai 在《 2024 年 API 安全影响研究》报告中指出,API 滥用正在以惊人的速度增加。这项针对 1200 多名 IT 和安全专业人员的调查发现,84% 的受访者表示其在过去 12 个月内遭遇了 API 安全事件,这一比例高于去年的 78%。与此同时,这类事件对企业造成的影响也越来越明显,比如补救成本增加和压力增大等等。
API 事件频发暴露了企业在 API 风险监测方面的不足
对企业而言, API 安全 事件增加不足为奇。我们可以这样理解:API 就像是公司里的员工,它们的主要工作就是在数字技术之间快速交换数据。这项工作至关重要:利用 API,客户和合作伙伴能够获得他们所需的服务。但这项工作 风险也很高 ,因为与公司里的员工不同,API 在处理敏感数据时几乎没有任何监管意识。
许多 API 处于隐蔽状态,因为它们是在企业的中央 IT 部门不知情的情况下创建的,而且经常无法被传统安全工具检测到。更有甚者,即使是安全团队 可以 掌控的那些 API,也常常因为对其风险监测不足而漏洞百出。
您无法抵御看不到的攻击
《2024 年 API 安全影响研究》表明,只有 27% 的受访者认为自己拥有完整的 API 清单,了解哪些 API 会返回敏感数据,这一比例低于去年的 40%。此外,企业不同人员之间也存在信息不一致的问题:尽管 43% 的受访 CIO 认为他们知道哪些 API 会返回敏感数据,但只有 17% 的 CISO 同意这一观点。
您无法保护看不见的资产。考虑到以下严峻现实,这种监测能力的缺失令人深感忧虑:
Akamai 在最近的一份报告中指出,从 2023 年 1 月到 2024 年 6 月期间,他们总共记录到了 1080 亿次 API 攻击: 互联网现状 (SOTI) 报告
哪怕只是一个 API 被攻陷,都可能会导致大规模的数据盗窃,直接造成收入损失和违规罚款
API 威胁不断升级,对企业的影响日益加剧
在我们的研究中,受访者既有 CISO 也有普通的 AppSec 员工。他们估算了 API 事件所带来的从补救成本到法律费用等总体财务影响。在过去 12 个月内遭遇 API 安全事件的企业所付出的平均成本为 591,404 美元。
受访者还分享了他们认为 API 安全事件会造成的几个重大影响。
这些结果能告诉我们什么?任何形式的攻击都必然会引发担忧。但面对不熟悉的攻击媒介时,会有一种难以名状的压力。许多企业都在了解 API 风险的复杂性。而且,一旦遭遇 API 攻击,并且高级领导层发出“灵魂”质问,只会让压力倍增: 这到底是怎么发生的?
意识到 API 攻击不断增加,企业开始考虑原因
值得庆幸的是,大多数安全团队都参与进来,并且对 API 攻击发生方式的了解越来越深入。此外,大多数人意识到,用于保护 API 的常见工具已经不足以应对当下的情况。受访者列举了他们所遭遇 API 事件的主要原因,他们的回答反映出以下两方面的问题:
由于缺乏对不受管 API 的监测和保护能力,许多工具根本无法有效应对超出其监控范围的安全事件
- 企业存在 OWASP 十大 API 安全风险中列出的各种漏洞,例如匆忙中造成的编码错误和缺少身份验证控制
为保护 API,企业应关注的四个方面
要应对当今的 API 威胁,企业需要在以下四个关键领域制定行之有效的策略和解决方案:
API 发现
态势管理
运行时保护
安全测试
API 发现
提高监测能力: 通过监测能力找到 API,特别是那些经常因数据访问未经检查而无法管理的 API。寻找能够自动 发现 API的工具。分析 API 面临的风险,并将其记录在一份全面的清单中。
态势管理
加强安全态势: 明确 正常 API 行为和非典型 API 行为,同时监测常见告警类型,使企业能够主动检测攻击信号。利用这些见解来降低风险、设定优先级,并增强 API 安全策略。
运行时保护
运行时监测和保护: 将全面的 API 安全解决方案与现有安全堆栈(例如, Web 应用程序防火墙 或 Web 应用程序和 API 安全 工具)相集成,使用户能够 发现高风险行为 并在可疑流量访问关键资源之前阻止它。
安全测试
尽早且持续进行测试: 采用左移方法, 将安全测试引入 API 开发阶段。测试 API 是否正确编码以执行预期功能,是否面临风险,以及是否容易遭受常见和新型攻击方法的攻击。
结语:直面威胁,积极应对
本研究中的数据不是孤立的发现或异常现象,请以此为契机,谨慎采取行动。随着 API 安全事件增加,CISO 及其团队承受着巨大压力。企业领导对安全团队寄予厚望,希望他们能够有效防御 API 攻击,这无疑让他们压力倍增。
确保您的团队持续学习 API 安全防护知识。认真阅读这份全新发布的重要报告,从中获得启迪和洞见。