文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

2023年第一季度API安全观察:威胁态势仍在持续加剧

2024-11-30 16:03

关注

近日,创新安全服务商Salt Labs发布了2023年第一季度《API安全态势研究报告》(以下简称《报告》)。《报告》数据显示,94%的受访企业在过去一年经历过生产系统中的API安全问题,17%的受访者表示他们所在的企业组织由于API安全漏洞而发生了数据泄露。《报告》还发现,在过去的6个月时间里,API攻击活动数量快速增长了400%,其中有78%的攻击发生在经过初步安全性验证的API上。研究人员表示,API威胁态势仍在持续加剧,其安全性将在2023年成为企业组织安全运营团队关注的重点。 

API安全是业务问题

《报告》研究发现,API安全性已经成为企业组织的一个关键性业务发展问题,而非仅仅是信息安全的问题,这一点可以从业务系统发布延迟、API安全意识增强以及企业对API安全应用的满意度低等多个方面体现出来:

数据显示,目前最受企业重视的两个API安全防护需求是如何阻止攻击和识别PII暴露,而实现左移API安全实践的能力则关注度较低。

最重要的API安全能力

当被问及最担心的API安全风险时: 

企业最担心的API安全风险

攻击者更加激进

《报告》数据显示,当前不仅API攻击数量正在快速上升,恶意行为者同时还在继续寻找新的、意想不到的方式来实施攻击:

API攻击活动增长态势

API安全策略仍不完善

随着企业数字化发展,其对API应用的依赖也达到空前的高度。因此,构建和实现强大的API安全策略变得更加迫切。然而,调查发现,绝大多数组织仍然缺乏成熟的API安全程序: 

企业API安全策略与计划调查

API安全防护建议

报告研究人员认为,API会越来越难以保护,因为当前的工具和安全流程无法跟上API安全发展趋势的步伐。组织必须从传统的安全实践和上一代工具转向创新的安全方法,在API生命周期的每个阶段解决可能的安全问题,并提供更全面的保护。

01定义一个强大的API安全策略

组织需要定义和执行一个API安全策略,该策略需要涵盖完整的API生命周期,并协调跨职能和部门的防护责任。全面的API防护策略必须包括API设计分析和偏离分析、自动和持续的发现、增强的运行时保护、使用运行时安全防护工具、API安全事件调查与培训,以及跨职能团队分担责任的明确流程。

02评估API安全风险水平

企业应该根据API安全最佳实践验证当前API设计,例如,检查在给定业务功能的API调用序列中,验证安全控制措施是否到位。安全团队还要根据OWASP API安全TOP 10列表发起模拟攻击,以了解WAF和API网关所存在的防护缺口。在有条件的情况下,可以模拟2022年知名API安全事件的场景,看看组织的API中是否存在类似的业务逻辑缺陷。

03在所有应用环境中启用API安全措施 

随着API成为当今所有应用程序开发的基础,组织不能放任其在某些环境中缺乏保护。组织必须能够在本地、云以及容器和Kubernetes部署上,应用API发现和运行时保护。此外,如何将API安全工具连接到组织的环境中也很关键,需要避免API安全平台因对应用程序运行状态的影响。

04关注API运行时的安全性

没人能编写完全安全的代码,因此在API运行时防护可以持续地降低风险。由于每个API都是唯一的,恶意行为者必须执行广泛的侦察,才能确定他们可以利用的业务逻辑漏洞或缺口。要查看这些邪恶但安静的活动,API安全平台必须能够在很长一段时间内捕获数百万个数据点,因为API攻击可能需要数周甚至数月才能展开。这种强大的分析能力需要通过成熟的大数据技术和AI算法实现。

05不要过度相信“安全左移” 

将安全能力左移到开发环节有其优点,但企业应该认识到,大多数API安全漏洞并不能在开发测试环节被检测到,它们只能在运行时被检测和发现。因此,企业需要寻找具有强大运行时保护能力的API安全平台,以补充开发管道测试和OAS分析能力。通常,安全左移策略的实施需要很长的时间来交付价值,而且,它们并不能全部识别所有的API安全漏洞。而运行时的安全性保护可以让企业随着时间推移而强化API。

来源:安全牛内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯