本文来自微信公众号“数世咨询”,作者/nana。
针对1629名网络安全专业人员的调查发现,近四分之三(74%)的受访者所属企业在过去两年间遭遇了不少于三起的应用编程接口(API)相关数据泄露事件。
API安全平台提供商Traceable AI委托波耐蒙研究所进行的调查研究发现,61%的受访者预计未来两年内API相关威胁会增加。超过半数(58%)的受访者认为API大幅扩大了需防护的攻击面。
调查发现,企业平均拥有127个第三方API连接,但仅三分之一(33%)的企业对自身管理外部威胁的能力充满信心。近半数(48%)受访者难以适应API的扩张。超过三分之一(39%)的企业在跟踪自身API清单方面存在困难。
Traceable AI首席安全官Richard Bird称,尽管API相关数据泄露的数量不断增长,足够重视这一威胁的企业仍旧不多。仅52%的受访者感受到了在安全风险概况的基础上了解最易受攻击API的紧迫性。54%的受访者则将识别处理敏感数据的API端点视为重中之重。
Bird补充道,太多企业误以为Web应用防火墙(WAF)之类现有工具就足以保护其API。但事实上,57%的受访者指出,WAF等传统安全解决方案无法将真实API活动与欺骗性API活动区分开来。仅38%能够辨别API活动、用户行为和数据流间的复杂上下文。
至于现有应用安全方法解决API安全问题的效果,以及是否需要专门的平台处理该特定任务,网络安全界还存在争论。很多情况下,API都是由于实际应用开发无关的开发团队创建的。Traceable AI及其他API安全平台提供商认为,API安全已成为独立的学科,企业需要相关工具来发现流氓API和僵尸API,识别网络犯罪分子操纵业务逻辑渗漏数据的异常行为。
调查发现,平均而言,只有40%的API持续接受测试以发现漏洞。因此,企业只有信心预防26%的攻击,仅能有效检测和控制21%的API攻击。总体上看,最常见的攻击途径涉及分布式拒绝服务(DDoS)攻击(38%)。
当然,如果开发人员在创建之初就保护好API安全,那网络安全团队的压力就会小一些。然而现实很骨感,开发人员的网络安全专业知识水平往往参差不齐,所以总有API是不够安全的。随着应用程序纷纷自带面向外部的API,网络安全团队需要预防数据泄露的概率也越来越高了。
每家企业都需要确定自己的API风险承受度,因为网络犯罪分子越来越善于利用API安全缺陷了。