Imperva最近发布的 一份 题为《 2024 年API安全 状况》的报告发现,大部分互联网流量(约 70%)来自 API 调用。因此,到 2023 年,企业网站平均每年处理约 15 亿次 API 调用,凸显了技术作为数字现代化“结缔组织”的作用。
通过 API 的巨大互联网流量应该引起每个安全专业人员的关注。尽管为实现左移框架和 SDLC 流程付出了所有努力,但 API 通常仍然在编目、认证和验证之前就已发布到生产中。
平均而言,组织在生产中拥有 613 个 API 端点,但随着更快、更高效地向客户提供数字服务的需求增长,这一数字正在快速增长。随着时间的推移,这些 API 可能会成为危险且易受攻击的端点。
Imperva 在其报告中得出结论,API 现在是网络犯罪分子的常见攻击媒介,因为它们提供了获取敏感数据的直接途径。例如, Marsh McLennan 网络风险分析中心与 Imperva 合作进行的 一项最新研究表明,与 API 相关的安全事件每年给全球企业造成 750 亿美元的损失。
2023 年,银行和在线零售领域的 API 调用数量最多,这使得金融服务成为 API 相关攻击的主要目标。网络犯罪分子使用多种方法攻击 API 访问点,包括帐户接管,他们利用 API 身份验证过程中的漏洞来获得对帐户的未经授权的访问。
糟糕的 API 管理给安全团队带来了独特的挑战,部分原因是软件开发速度快,以及开发人员和安全团队协作缺乏成熟的工具和流程。因此,由于管理不善、缺乏监控或身份验证控制不足,近十分之一的 API 很容易受到攻击。
为了降低与 API 管理不善相关的安全风险,建议定期审核以识别不受控制或未经身份验证的 API 访问点。持续监控可以帮助检测早期利用与这些接入点相关的漏洞的尝试。此外,开发人员应定期更新 API 并使之现代化,以确保及时用更安全的替代方案替换旧端点。
Imperva 提供了多项建议来提高组织的 API 安全性。其中,例如:
- 发现、分类和清点所有 API、端点、参数和负载。使用持续检测来维护不断更新的 API 库存并识别敏感数据泄漏。
- 识别并保护敏感和高风险 API。专门针对易受攻击的 API 端点进行风险评估,特别是那些容易受到授权和身份验证违规以及过度数据暴露的端点。
- 为 API 端点建立强大的监控系统,以主动检测和分析可疑行为和访问模式。
- 实施集成了 Web 应用程序防火墙 (WAF)、API 保护、DDoS 缓解和机器人程序保护的 API 安全方法。一套全面的缓解选项提供了灵活性和高级保护,以应对日益复杂的 API 威胁,例如业务逻辑攻击,这些攻击特别难以防御,因为它们对于每个 API 都是独一无二的。
所有这些措施都可以帮助组织提高其数字基础设施的安全性,并防止网络犯罪分子故意利用 API 中的漏洞进行潜在攻击。
随着 API 使用量的不断增长,强大的安全性和主动 API 管理对于防止数据泄露、意外财务损失和声誉损害的重要性变得更加明显。
发表评论
您还未登录,请先登录。
登录