企业保护 API 安全迫在眉睫

最近，Imperva 发布了一项新的研究结果，揭示了易受攻击的 API 全球成本正在不断上升，在对近117000起特定的网络安全事件分析估计，发现 API安全威胁每年导致410-750亿美元的损失。 从研究结果来看，大型企业发生API相关安全事件的比例更高，收入至少为 1000 亿美元的企业遇到 API 安全问题的可能性是中小型企业的 3-4 倍。这一数据侧面表明，大型企业正在加速数字化转型，特别容易受到与未受保护API 有关的安全风险影响。 API作为一种无形的连接组织，使应用程序能够共享数据，最终改善了用户体验。研究表明，现阶段，企业使用的API数量正在迅速增长，近一半企业在内部或公开部署了50-500个API，一些稍大型企业甚至部署了超过1000个活跃的API。 企业部署的许多 API是直接连接到储存敏感数据的后端数据库，因此，网络攻击者越来越多地将API作为进入底层基础设施的途径，以窃取敏感信息。当今，每13起网络事件中，就有1起是因 API不安全造成，随着API数量成倍增加，预计在未来几年内，这一占比将会继续增长。 另外，该研究还发现了行业之间也存在巨大差异，信息技术、专业服务和零售业等行业最有可能遭受与API相关的安全事件。 Imperva产品管理高级副总裁、应用安全部总经理Karl Triebes表示，如果没有解决 API 安全问题的战略，世界各地的企业每年将持续损失巨大资金，为了缓解不断增长的 API 相关安全威胁，企业需要能够发现其环境中所有的API并清楚数据在 API流动动向。 提高 API 安全性的建议：

识别和分类流经每个 API 的数据：可见性对于理解每个 API 的完整架构以及识别和分类流经它的数据以便评估风险至关重要； 自动发现：API 的生成速度快且经常修改，这使它们成为许多组织的盲点。通过自动化，组织可以消除“顽疾”API。此外，通过自动化 API 清单，安全团队可以清晰看到开发人员在生产中修改API 的情况； 启用API治理：对于高度监管行业的实体组织来说，API 治理模式至关重要，只有在可见性超出 API 端点并延伸到底层有效载荷的情况下才有可能，因此可以充分保护敏感数据。

最后，Triebes强调，每个与API相关的安全事件的根源都是数据，保护API需要转变思维方式，重点是要对数据进行分类，了解生产中的每个API是如何访问数据的，这种方式需要安全和开发团队共同努力，将安全嵌入到开发生命周期中。 遗憾的是，在做到这些之前，网络犯罪分子将继续利用脆弱的API，大量窃取敏感数据。 注：本文内容收集自helpnetsecurity.com，制作者对其完整性负责，但不对其真实性和有效性负责。