本文來自微信公眾號“數(shù)世咨詢”,作者/nana。
針對1629名網(wǎng)絡安全專業(yè)人員的調(diào)查發(fā)現(xiàn),近四分之三(74%)的受訪者所屬企業(yè)在過去兩年間遭遇了不少于三起的應用編程接口(API)相關數(shù)據(jù)泄露事件。
API安全平臺提供商Traceable AI委托波耐蒙研究所進行的調(diào)查研究發(fā)現(xiàn),61%的受訪者預計未來兩年內(nèi)API相關威脅會增加。超過半數(shù)(58%)的受訪者認為API大幅擴大了需防護的攻擊面。
調(diào)查發(fā)現(xiàn),企業(yè)平均擁有127個第三方API連接,但僅三分之一(33%)的企業(yè)對自身管理外部威脅的能力充滿信心。近半數(shù)(48%)受訪者難以適應API的擴張。超過三分之一(39%)的企業(yè)在跟蹤自身API清單方面存在困難。
Traceable AI首席安全官Richard Bird稱,盡管API相關數(shù)據(jù)泄露的數(shù)量不斷增長,足夠重視這一威脅的企業(yè)仍舊不多。僅52%的受訪者感受到了在安全風險概況的基礎上了解最易受攻擊API的緊迫性。54%的受訪者則將識別處理敏感數(shù)據(jù)的API端點視為重中之重。
Bird補充道,太多企業(yè)誤以為Web應用防火墻(WAF)之類現(xiàn)有工具就足以保護其API。但事實上,57%的受訪者指出,WAF等傳統(tǒng)安全解決方案無法將真實API活動與欺騙性API活動區(qū)分開來。僅38%能夠辨別API活動、用戶行為和數(shù)據(jù)流間的復雜上下文。
至于現(xiàn)有應用安全方法解決API安全問題的效果,以及是否需要專門的平臺處理該特定任務,網(wǎng)絡安全界還存在爭論。很多情況下,API都是由于實際應用開發(fā)無關的開發(fā)團隊創(chuàng)建的。Traceable AI及其他API安全平臺提供商認為,API安全已成為獨立的學科,企業(yè)需要相關工具來發(fā)現(xiàn)流氓API和僵尸API,識別網(wǎng)絡犯罪分子操縱業(yè)務邏輯滲漏數(shù)據(jù)的異常行為。
調(diào)查發(fā)現(xiàn),平均而言,只有40%的API持續(xù)接受測試以發(fā)現(xiàn)漏洞。因此,企業(yè)只有信心預防26%的攻擊,僅能有效檢測和控制21%的API攻擊??傮w上看,最常見的攻擊途徑涉及分布式拒絕服務(DDoS)攻擊(38%)。
當然,如果開發(fā)人員在創(chuàng)建之初就保護好API安全,那網(wǎng)絡安全團隊的壓力就會小一些。然而現(xiàn)實很骨感,開發(fā)人員的網(wǎng)絡安全專業(yè)知識水平往往參差不齊,所以總有API是不夠安全的。隨著應用程序紛紛自帶面向外部的API,網(wǎng)絡安全團隊需要預防數(shù)據(jù)泄露的概率也越來越高了。
每家企業(yè)都需要確定自己的API風險承受度,因為網(wǎng)絡犯罪分子越來越善于利用API安全缺陷了。