研究显示:安全团队深受 API 威胁增长的影响
根据 Akamai 的 2024 年 API 安全影响研究,API 滥用正在急剧增加。这项针对 1200 多名 IT 和安全专业人员的调查发现,84% 的受访者报告在过去 12 个月内遭遇了 API 安全事件,这一结果高于去年的 78%。与此同时,这类事件对企业造成的影响也越来越明显,包括补救成本的增加和压力的增大。
随着 API 事件的增多,各企业在风险监测方面困难重重
API 安全 事件的增加不足为奇。我们可以这样理解:就像任何公司的员工一样,API 也有要完成的工作,那就是在数字技术之间快速交换数据。这项工作很重要:利用 API,客户和合作伙伴能够获得他们所需的服务。但这项工作 风险也很高 ,因为与那些员工不同,API 在处理敏感数据时几乎没有任何监管意识。
许多 API 处于隐蔽状态,因为它们是在企业的中央 IT 部门不知情的情况下创建的,而且经常无法被传统安全工具检测到。甚至,安全团队常常无法完全了解他们 能够 掌控的 API 所面临的风险。
您无法保护看不见的资产
《2024 年 API 安全影响研究》表明,只有 27% 的受访者认为自己拥有完整的 API 清单,了解哪些 API 会返回敏感数据,这一结果低于去年的 40%。此外,企业不同人员之间也存在信息不一致的问题:尽管 43% 的受访 CIO 认为他们知道哪些 API 会返回敏感数据,但只有 17% 的 CISO 同意这一观点。
您无法保护看不见的资产。考虑到以下情况时,这种监测能力的缺乏更加令人苦恼:
根据 Akamai 最近的互联网现状 (SOTI) 报告,从 2023 年 1 月到 2024 年 6 月共记录了 1080 亿次 API 攻击: 互联网现状 (SOTI) 报告
仅一个 API 遭入侵就可能导致严重的数据盗窃,产生收入损失和违规罚款
企业遭遇 API 威胁时,影响就会出现
我们开展调研的受访者(从 CISO 到 AppSec 工作人员)估算了 API 事件所带来的从补救成本到法律费用的总体财务影响。在过去 12 个月内遭遇 API 安全事件的企业所付出的平均成本为 591,404 美元。
受访者还分享了他们认为 API 安全事件会造成的几个重大影响。
这些结果能告诉我们什么?任何形式的攻击都必然会引发担忧。但有一种特殊的压力来自于要处理一种感觉陌生的攻击媒介。许多企业都面临 API 风险复杂性的快速增加。此外,只有在高级领导层提出以下问题时,API 攻击的后果才会令人压力倍增: 这是怎么发生的?
意识到 API 攻击不断增加,企业开始考虑原因
值得庆幸的是,大多数安全团队都参与进来,并且对 API 攻击发生方式的了解越来越深入。此外,大多数人意识到,用于保护 API 的常见工具已经不足以应对当下的情况。受访者列举了他们所遭遇 API 事件的主要原因,他们的回答反映出以下两方面的问题:
工具并非旨在用于监测或保护大部分未托管的 API 资产,因此,无法捕捉其监测不到的事件
- OWASP 十大 API 安全风险中所列的漏洞,例如匆忙中造成的编码错误和缺少身份验证控制
试图保护 API 的企业应关注的四个方面
当今的 API 威胁需要以下四个关键领域的策略和解决方案:
API 发现
态势管理
运行时保护
安全测试
API 发现
提高监测能力: 通过监测能力找到 API,特别是那些经常因数据访问未经检查而无法管理的 API。寻找能够自动 发现 API的工具。分析 API 面临的风险,并将其记录在一份全面的清单中。
态势管理
加强安全态势: 明确 正常 API 行为和非典型 API 行为,同时监测常见告警类型,使企业能够主动检测攻击信号。利用这些见解来降低风险、设定优先级,并增强 API 安全策略。
运行时保护
运行时监测和保护: 将全面的 API 安全解决方案与现有安全堆栈(例如, Web 应用程序防火墙 或 Web 应用程序和 API 安全 工具)相集成,使用户能够在访问关键资源之前 发现高风险行为 并阻止可疑流量。
安全测试
尽早且持续进行测试: 采用左移方法, 将安全测试引入 API 开发阶段。测试 API 是否正确编码以执行预期功能,是否面临风险,以及是否容易遭受常见和新型攻击方法的攻击。
结语:感受到影响并准备采取行动
不要以猎奇或不认同的心态来看待这份研究中的数据,而是将其作为重要对话的起点。随着 API 安全事件的增加,CISO 及其团队明显感觉遭受重创。当企业领导层期望安全团队防范 API 攻击时,他们的审查可能会给每个人带来很大压力。
确保您的团队持续接受 API 安全防护相关的培训。通过阅读这份重要的新报告获得所需见解。