信息化觀察網(wǎng)

本文來自微信公眾號(hào)“安全牛”。

近日，創(chuàng)新安全服務(wù)商Salt Labs發(fā)布了2023年第一季度《API安全態(tài)勢(shì)研究報(bào)告》（以下簡(jiǎn)稱《報(bào)告》）?！秷?bào)告》數(shù)據(jù)顯示，94%的受訪企業(yè)在過去一年經(jīng)歷過生產(chǎn)系統(tǒng)中的API安全問題，17%的受訪者表示他們所在的企業(yè)組織由于API安全漏洞而發(fā)生了數(shù)據(jù)泄露?！秷?bào)告》還發(fā)現(xiàn)，在過去的6個(gè)月時(shí)間里，API攻擊活動(dòng)數(shù)量快速增長(zhǎng)了400%，其中有78%的攻擊發(fā)生在經(jīng)過初步安全性驗(yàn)證的API上。研究人員表示，API威脅態(tài)勢(shì)仍在持續(xù)加劇，其安全性將在2023年成為企業(yè)組織安全運(yùn)營團(tuán)隊(duì)關(guān)注的重點(diǎn)。

API安全是業(yè)務(wù)問題

《報(bào)告》研究發(fā)現(xiàn)，API安全性已經(jīng)成為企業(yè)組織的一個(gè)關(guān)鍵性業(yè)務(wù)發(fā)展問題，而非僅僅是信息安全的問題，這一點(diǎn)可以從業(yè)務(wù)系統(tǒng)發(fā)布延遲、API安全意識(shí)增強(qiáng)以及企業(yè)對(duì)API安全應(yīng)用的滿意度低等多個(gè)方面體現(xiàn)出來：

超過一半的受訪者（59%）表示，由于擔(dān)心API安全問題，他們不得不延后新業(yè)務(wù)系統(tǒng)的發(fā)布排期。如此高的百分比說明，現(xiàn)有的測(cè)試工具和安全代碼開發(fā)能力還無法解決當(dāng)前API應(yīng)用的安全挑戰(zhàn)。開發(fā)人員并不能有效識(shí)別API中每一個(gè)可能的業(yè)務(wù)邏輯缺口；

只有23%的受訪者認(rèn)為他們現(xiàn)有的安全手段在防止API攻擊方面非常有效；

48%的受訪企業(yè)表示，在過去的一年里，API安全性已經(jīng)成為公司管理成關(guān)注的問題。在受到嚴(yán)格監(jiān)管的行業(yè)，這一比例甚至更高，如科技研發(fā)（59%）、金融服務(wù)（56%）和能源/公用事業(yè)（55%）。而就公司規(guī)模而言，員工人數(shù)在5001-10000人之間的公司，高管參與API安全討論的比例最多（71%）。

數(shù)據(jù)顯示，目前最受企業(yè)重視的兩個(gè)API安全防護(hù)需求是如何阻止攻擊和識(shí)別PII暴露，而實(shí)現(xiàn)左移API安全實(shí)踐的能力則關(guān)注度較低。

最重要的API安全能力

●當(dāng)被問及最擔(dān)心的API安全風(fēng)險(xiǎn)時(shí)：

●54%的受訪者表示“僵尸”API是一個(gè)非常令人擔(dān)憂的問題，這一比例高于上一季度的42%；

●43%的人表示賬戶接管（ATO）是需要關(guān)注的問題；

只有20%的人認(rèn)為“影子”API是最令人擔(dān)憂的問題?？紤]到API文檔方面的挑戰(zhàn)，這方面的實(shí)際風(fēng)險(xiǎn)可能比企業(yè)意識(shí)到的更嚴(yán)重。

企業(yè)最擔(dān)心的API安全風(fēng)險(xiǎn)

攻擊者更加激進(jìn)

《報(bào)告》數(shù)據(jù)顯示，當(dāng)前不僅API攻擊數(shù)量正在快速上升，惡意行為者同時(shí)還在繼續(xù)尋找新的、意想不到的方式來實(shí)施攻擊：

●對(duì)API進(jìn)行簡(jiǎn)單的身份驗(yàn)證并不足以阻止攻擊者。報(bào)告數(shù)據(jù)顯示，78%的API端點(diǎn)攻擊來自看似合法的用戶，但實(shí)際上是惡意繞過了身份合法性驗(yàn)證的攻擊者；

●面向內(nèi)部的應(yīng)用程序API通常完全不受保護(hù)，因?yàn)榘踩珗F(tuán)隊(duì)并不關(guān)心其是否需要強(qiáng)大的安全性。然而，《報(bào)告》數(shù)據(jù)顯示，有8%的API攻擊是專門針對(duì)企業(yè)內(nèi)部的API；

●2022年12月，共有4842名攻擊者實(shí)施了API攻擊活動(dòng)，這一數(shù)據(jù)比半年前增長(zhǎng)了400%。

API攻擊活動(dòng)增長(zhǎng)態(tài)勢(shì)

API安全策略仍不完善

隨著企業(yè)數(shù)字化發(fā)展，其對(duì)API應(yīng)用的依賴也達(dá)到空前的高度。因此，構(gòu)建和實(shí)現(xiàn)強(qiáng)大的API安全策略變得更加迫切。然而，調(diào)查發(fā)現(xiàn)，絕大多數(shù)組織仍然缺乏成熟的API安全程序：

●只有12%的受訪企業(yè)認(rèn)為他們的API安全防護(hù)策略是先進(jìn)/高級(jí)的，包括專用的API測(cè)試和運(yùn)行時(shí)保護(hù)，這一比例高于2022年第三季度的10%；

●受訪企業(yè)目前還依賴于傳統(tǒng)的API安全方法，如WAF、API網(wǎng)關(guān)和日志文件分析，但只有23%的受訪者認(rèn)為這些方法是有效的；

●盡管所有受訪者都有生產(chǎn)API，但30%的受訪者當(dāng)前并沒有明確的API安全策略。其中25%的人表示他們還處于計(jì)劃階段，而5%的人表示完全沒有API安全策略。

企業(yè)API安全策略與計(jì)劃調(diào)查

API安全防護(hù)建議

報(bào)告研究人員認(rèn)為，API會(huì)越來越難以保護(hù)，因?yàn)楫?dāng)前的工具和安全流程無法跟上API安全發(fā)展趨勢(shì)的步伐。組織必須從傳統(tǒng)的安全實(shí)踐和上一代工具轉(zhuǎn)向創(chuàng)新的安全方法，在API生命周期的每個(gè)階段解決可能的安全問題，并提供更全面的保護(hù)。

01

定義一個(gè)強(qiáng)大的API安全策略

組織需要定義和執(zhí)行一個(gè)API安全策略，該策略需要涵蓋完整的API生命周期，并協(xié)調(diào)跨職能和部門的防護(hù)責(zé)任。全面的API防護(hù)策略必須包括API設(shè)計(jì)分析和偏離分析、自動(dòng)和持續(xù)的發(fā)現(xiàn)、增強(qiáng)的運(yùn)行時(shí)保護(hù)、使用運(yùn)行時(shí)安全防護(hù)工具、API安全事件調(diào)查與培訓(xùn)，以及跨職能團(tuán)隊(duì)分擔(dān)責(zé)任的明確流程。

02

評(píng)估API安全風(fēng)險(xiǎn)水平

企業(yè)應(yīng)該根據(jù)API安全最佳實(shí)踐驗(yàn)證當(dāng)前API設(shè)計(jì)，例如，檢查在給定業(yè)務(wù)功能的API調(diào)用序列中，驗(yàn)證安全控制措施是否到位。安全團(tuán)隊(duì)還要根據(jù)OWASP API安全TOP 10列表發(fā)起模擬攻擊，以了解WAF和API網(wǎng)關(guān)所存在的防護(hù)缺口。在有條件的情況下，可以模擬2022年知名API安全事件的場(chǎng)景，看看組織的API中是否存在類似的業(yè)務(wù)邏輯缺陷。

03

在所有應(yīng)用環(huán)境中啟用API安全措施

隨著API成為當(dāng)今所有應(yīng)用程序開發(fā)的基礎(chǔ)，組織不能放任其在某些環(huán)境中缺乏保護(hù)。組織必須能夠在本地、云以及容器和Kubernetes部署上，應(yīng)用API發(fā)現(xiàn)和運(yùn)行時(shí)保護(hù)。此外，如何將API安全工具連接到組織的環(huán)境中也很關(guān)鍵，需要避免API安全平臺(tái)因?qū)?yīng)用程序運(yùn)行狀態(tài)的影響。

04

關(guān)注API運(yùn)行時(shí)的安全性

沒人能編寫完全安全的代碼，因此在API運(yùn)行時(shí)防護(hù)可以持續(xù)地降低風(fēng)險(xiǎn)。由于每個(gè)API都是唯一的，惡意行為者必須執(zhí)行廣泛的偵察，才能確定他們可以利用的業(yè)務(wù)邏輯漏洞或缺口。要查看這些邪惡但安靜的活動(dòng)，API安全平臺(tái)必須能夠在很長(zhǎng)一段時(shí)間內(nèi)捕獲數(shù)百萬個(gè)數(shù)據(jù)點(diǎn)，因?yàn)锳PI攻擊可能需要數(shù)周甚至數(shù)月才能展開。這種強(qiáng)大的分析能力需要通過成熟的大數(shù)據(jù)技術(shù)和AI算法實(shí)現(xiàn)。

05

不要過度相信“安全左移”

將安全能力左移到開發(fā)環(huán)節(jié)有其優(yōu)點(diǎn)，但企業(yè)應(yīng)該認(rèn)識(shí)到，大多數(shù)API安全漏洞并不能在開發(fā)測(cè)試環(huán)節(jié)被檢測(cè)到，它們只能在運(yùn)行時(shí)被檢測(cè)和發(fā)現(xiàn)。因此，企業(yè)需要尋找具有強(qiáng)大運(yùn)行時(shí)保護(hù)能力的API安全平臺(tái)，以補(bǔ)充開發(fā)管道測(cè)試和OAS分析能力。通常，安全左移策略的實(shí)施需要很長(zhǎng)的時(shí)間來交付價(jià)值，而且，它們并不能全部識(shí)別所有的API安全漏洞。而運(yùn)行時(shí)的安全性保護(hù)可以讓企業(yè)隨著時(shí)間推移而強(qiáng)化API。

文章來源：安全牛編譯整理