企業(yè)保護(hù) API 安全迫在眉睫
責(zé)編:gltian |2022-07-01 14:27:46最近,Imperva 發(fā)布了一項(xiàng)新的研究結(jié)果,揭示了易受攻擊的 API 全球成本正在不斷上升,在對(duì)近?117000?起特定的網(wǎng)絡(luò)安全事件分析估計(jì),發(fā)現(xiàn) API?安全威脅每年導(dǎo)致?410-750?億美元的損失。
從研究結(jié)果來(lái)看,大型企業(yè)發(fā)生?API?相關(guān)安全事件的比例更高,收入至少為 1000 億美元的企業(yè)遇到 API 安全問(wèn)題的可能性是中小型企業(yè)的 3-4 倍。這一數(shù)據(jù)側(cè)面表明,大型企業(yè)正在加速數(shù)字化轉(zhuǎn)型,特別容易受到與未受保護(hù)API 有關(guān)的安全風(fēng)險(xiǎn)影響。
API?作為一種無(wú)形的連接組織,使應(yīng)用程序能夠共享數(shù)據(jù),最終改善了用戶體驗(yàn)。研究表明,現(xiàn)階段,企業(yè)使用的?API?數(shù)量正在迅速增長(zhǎng),近一半企業(yè)在內(nèi)部或公開(kāi)部署了?50-500?個(gè)?API,一些稍大型企業(yè)甚至部署了超過(guò)?1000?個(gè)活躍的API。
企業(yè)部署的許多 API?是直接連接到儲(chǔ)存敏感數(shù)據(jù)的后端數(shù)據(jù)庫(kù),因此,網(wǎng)絡(luò)攻擊者越來(lái)越多地將?API?作為進(jìn)入底層基礎(chǔ)設(shè)施的途徑,以竊取敏感信息。當(dāng)今,每?13?起網(wǎng)絡(luò)事件中,就有?1?起是因 API?不安全造成,隨著?API?數(shù)量成倍增加,預(yù)計(jì)在未來(lái)幾年內(nèi),這一占比將會(huì)繼續(xù)增長(zhǎng)。
另外,該研究還發(fā)現(xiàn)了行業(yè)之間也存在巨大差異,信息技術(shù)、專業(yè)服務(wù)和零售業(yè)等行業(yè)最有可能遭受與?API?相關(guān)的安全事件。
Imperva?產(chǎn)品管理高級(jí)副總裁、應(yīng)用安全部總經(jīng)理?Karl Triebes?表示,如果沒(méi)有解決 API 安全問(wèn)題的戰(zhàn)略,世界各地的企業(yè)每年將持續(xù)損失巨大資金,為了緩解不斷增長(zhǎng)的 API 相關(guān)安全威脅,企業(yè)需要能夠發(fā)現(xiàn)其環(huán)境中所有的API并清楚數(shù)據(jù)在 API?流動(dòng)動(dòng)向。
提高 API 安全性的建議:
1. 識(shí)別和分類流經(jīng)每個(gè) API 的數(shù)據(jù):可見(jiàn)性對(duì)于理解每個(gè) API 的完整架構(gòu)以及識(shí)別和分類流經(jīng)它的數(shù)據(jù)以便評(píng)估風(fēng)險(xiǎn)至關(guān)重要;
2. 自動(dòng)發(fā)現(xiàn):API 的生成速度快且經(jīng)常修改,這使它們成為許多組織的盲點(diǎn)。通過(guò)自動(dòng)化,組織可以消除“頑疾”API。此外,通過(guò)自動(dòng)化 API 清單,安全團(tuán)隊(duì)可以清晰看到開(kāi)發(fā)人員在生產(chǎn)中修改API 的情況;
3. 啟用API治理:對(duì)于高度監(jiān)管行業(yè)的實(shí)體組織來(lái)說(shuō),API 治理模式至關(guān)重要,只有在可見(jiàn)性超出 API 端點(diǎn)并延伸到底層有效載荷的情況下才有可能,因此可以充分保護(hù)敏感數(shù)據(jù)。
最后,Triebes?強(qiáng)調(diào),每個(gè)與?API?相關(guān)的安全事件的根源都是數(shù)據(jù),保護(hù)API?需要轉(zhuǎn)變思維方式,重點(diǎn)是要對(duì)數(shù)據(jù)進(jìn)行分類,了解生產(chǎn)中的每個(gè)?API?是如何訪問(wèn)數(shù)據(jù)的,這種方式需要安全和開(kāi)發(fā)團(tuán)隊(duì)共同努力,將安全嵌入到開(kāi)發(fā)生命周期中。
遺憾的是,在做到這些之前,網(wǎng)絡(luò)犯罪分子將繼續(xù)利用脆弱的?API,大量竊取敏感數(shù)據(jù)。
注:本文內(nèi)容收集自?helpnetsecurity.com,制作者對(duì)其完整性負(fù)責(zé),但不對(duì)其真實(shí)性和有效性負(fù)責(zé)。
參考文章:
https://www.helpnetsecurity.com/2022/06/28/properly-securing-apis/
來(lái)源:FreeBuf
- Accelerate 2025北亞巡展正式啟航!AI智御全球?引領(lǐng)安全新時(shí)代
- GDPR的七年之癢:2024-2025 GDPR處罰與執(zhí)法數(shù)據(jù)全景分析
- 印度成功在多芯光纖 (MCF) 上實(shí)現(xiàn)了量子密鑰分發(fā)
- 量子危機(jī)提前!近百萬(wàn)比特量子計(jì)算機(jī)一周內(nèi)可破解RSA加密算法
- 公安機(jī)關(guān)公布網(wǎng)絡(luò)攻擊來(lái)源為中國(guó)臺(tái)灣民進(jìn)黨當(dāng)局有關(guān)黑客組織
- 國(guó)家安全部發(fā)布使用AI應(yīng)用保密安全指南
- 首次!OpenAI o3模型找到Linux內(nèi)核零日漏洞
- 零售巨頭因勒索攻擊運(yùn)營(yíng)中斷數(shù)月,預(yù)計(jì)損失近30億元
- Pwn2Own 2025柏林黑客大賽:冠軍團(tuán)隊(duì)斬獲32萬(wàn)美元
- AI驅(qū)動(dòng)時(shí)代,安全跨越鴻溝的困境和機(jī)遇