是時候關注API安全了
責編:gltian |2018-08-20 15:41:01數字化進程催生了一系列新的商業模型與合作伙伴關系生態系統,當今時代,協作與集成不再僅僅是錦上添花的東西,而是切切實實的競爭優勢。
應用程序編程接口(API)的大量使用奠定了該數字化轉型的基礎。可編程Web,實際上的API經濟賬本,記錄了自新世紀第一個10年末尾開始的這波急速增長趨勢,并且,該趨勢至今毫無停止的跡象。
今年早些時候發布的調查研究顯示,超過60%的公司企業認為API集成是自身商業戰略的關鍵。乘著這股趨勢,很多公司企業找到了從現有資源中謀求額外價值,并更快速地將新解決方案推向市場的方法。
很多公司向第三方開發人員開放了他們的API,力求擴寬自身領域,交付創新服務,產生新的收益流。
金融機構、醫療提供商和零售商是其中主導,開展了很多項目以改善與客戶的互動,并和其他利益相關者共享數據以交付更好的收益并提升服務水平。
API還塑造了支托起物聯網熱潮的關鍵基礎。
API是設備聯網的接口,從運動健康記錄器到維護傳感器和車輛定位跟蹤器,無一不需要通過API來連接互聯網,連接網絡上其他設備,以及連接用戶需與之互動的App和設備。
注意漏洞——傳統API安全失效的地方
由于API是眾多戰略性和業務關鍵項目的基礎,必須確保API不被破壞或被不當使用來進行欺詐、盜竊或泄露隱私。
截至目前,網絡安全行業沒能跟上API的爆炸式發展,保護敏感數據和應用的萬全之策尚有待推出。
API擴大了企業的攻擊界面,卻常常未受到傳統安全防御的足夠保護。典型的API防護落腳在通過身份安全解決方案和API網關來限制對API的訪問上。
這類訪問控制很強大,但卻不全面。我們還需要一組補充性的安全功能,用來解決包括API特定拒絕服務攻擊、登錄攻擊和應用及數據工具在內的各種威脅。
有鑒于此,安全工具箱中納入API特殊保護要求就十分有必要了。
高科技版的大海撈針
在API流量汪洋里找出可疑活動就是個大數據噩夢。試圖在萬千交易中定位某一惡意交易,就是高科技版的大海撈針。
除了大得嚇人的總流量,IT人員還得應付以各種方式使用的各類API,包括要支持移動和語音應用。這些復雜多樣的環境下,要想將攻擊與合法活動區分開來并非易事,編寫適用于所有API的規則策略也幾乎是不可能。
同時,隨著數字化的演進和黑客在技術與膽量上的精進,新的威脅也在不斷涌現。
AI會是API安全問題的救星嗎?
智能API安全正逐漸成型,有望成為解決API安全問題的良方。人工智能和機器學習是在大量交易數據中檢測惡意企圖的絕佳工具,而且具備與時俱進功能,可以自適應新威脅的出現。
通過學習多個環境不同情況下與每個API相關的正常行為模式的范圍,AI可以識別并阻止API攻擊。隨著時間進程,即便沒有成文的規則或有關新攻擊模式的前置知識,異常活動也會被標記出來。
AI驅動的API安全軟件是可以隨時間流逝變得越來越好的解決方案。API安全完全有可能從老舊的訪問控制模型進化到全面的安全防護解決方案。
AI驅動的解決方案有望交付的對數據、應用和系統的強化安全防護,不僅僅意味著公司管理層和IT員工可以就此放心,還可能是企業賴以繼續充滿自信地利用API經濟新機會的基礎。
API調查研究報告原文:
https://blog.cloud-elements.com/state-of-api-integration-2018-report-infographic