由 jpichiban Sat, 15 Feb 2025 14:30:01 GMT
Anyaberkut | Istock | Getty Images 图片
各组织正目睹针对应用程序编程接口(API)的网络安全攻击日益增多。API是让软件组件遵循一套规则和协议相互通信与数据交换的机制。问题是,他们是否已准备好抵御这些攻击?
云服务提供商Akamai Technologies于2024年11月发布的一份报告,基于对美国、英国和德国超过1200名IT及网络安全领导者的调查,发现84%的受访者表示其所在组织在过去12个月内遭遇过API安全事件。仅有27%的受访者清楚哪些API会返回攻击者觊觎的敏感数据。
研究显示,尽管API攻击呈上升趋势,但对为攻击者敞开大门的API风险的可见性却在下降。在美国,修复API事件的平均成本为591,400美元。在金融服务等行业,这一数字更是高达832,800美元。
研究机构国际数据公司(IDC)在一份报告中指出,作为现代软件开发的基石,API促进了应用间的通信,推动了数字化转型,这一关键角色扩大了攻击面,使API成为网络犯罪分子的主要目标。此外,智能、融合人工智能应用的激增仅增加了API的使用,引入了新的威胁,IDC补充道。
托管服务提供商Pantheon的首席战略官Josh Koenig表示:“威胁行为者通过API漏洞获取价值的途径多种多样,无论是通过旁路深入系统访问,还是单纯利用密钥所授予的服务进行免费使用。随着更多API投入使用,这类漏洞正在增加,未来几年内很可能只会加速增长。”
**硬编码API凭证与网络犯罪**
Koenig指出,API最大的漏洞之一来自于试图管理整个攻击面。“随着API的激增,企业很容易失去跟踪,就像许多企业在管理其网络资产时遇到的困难一样,”他说。
因此,企业未能妥善保护API,最终导致安全漏洞。最大的风险之一是凭证意外泄露的可能性。“开发者将API凭证硬编码进代码中极为常见,这大大增加了凭证意外暴露的风险,”Koenig解释道。“一旦威胁行为者获得有效的API密钥,他们就能迅速造成破坏。”
网络犯罪分子深知API的弱点并加以利用。
IDC项目副总裁Jim Mercer表示:“API作为数据交换和执行功能的关键通道,其广泛使用对恶意行为者极具吸引力。”“API使用的庞大规模和多样性,以及现代软件生态系统的复杂性,为攻击提供了众多切入点,”Mercer补充道。
随着企业越来越依赖API来实现无缝集成和连接,确保强有力的安全措施变得至关重要,以保护敏感数据并维护数字基础设施的完整性,Mercer强调。
“然而,大多数组织难以定位所有正在使用的API并管理其安全暴露情况,”Mercer说。“保持一个包含基于上下文的威胁细节的准确API清单至关重要。通过检测活跃应用环境中的API端点,可以获得静态扫描可能忽略的全面视图。”
通过主动识别API清单中的意外变化,企业可以预防影子API或脆弱API的出现,从而增强整体安全态势,Mercer建议。“这可以通过建立API行为的[正常]基线,并将其与实际活动进行比较,以发现潜在的安全漏洞来实现,”他解释道。
拥有良好的API可见性是关键。 确保API安全。“无论是你运行的API还是集成的服务,全面了解你的数字生态系统是成功的关键,”Koenig说。“网络管理工具可以在很大程度上帮助实现这一点,但通过让团队进行一个简单的练习,列出他们工作中涉及的API,就能获得惊人的价值。”另一个好的做法是实施网关,Koenig说。“出于同样的原因,将你的网站置于Web应用防火墙之后被视为最佳实践,API网关对于任何将API作为其服务一部分运营的组织来说都是必不可少的,”他说。除了阻止恶意行为者的安全功能外,大多数网关产品还有助于管理常见的痛点,例如限制那些出于好意但过于热心的管理者的使用。
Mercer建议公司采取分层的方法来保护API安全,包括API设计、测试、清单、网关和高级运行时保护。他说,API需要在软件开发生命周期的各个阶段都得到保护。培训员工是一个重要步骤。“提高组织内部对API安全的认识,包括开发人员和安全团队的培训,使他们作为一个团队共同努力,确保你的API安全,”Mercer说。
现在观看视频5:2205:22SailPoint首席执行官Mark McClain:我们独特地专注于身份安全领域《街头访谈》
原文链接:https://www.cnbc.com/2025/02/15/foundation-of-modern-software-development-is-under-rising-attack.html