近日,Imperva发布的一项新研究显示,易受攻击的API的全球成本正在上升。在对近117,000起具体网络安全事件进行分析和估算后,发现API安全威胁每年造成41-750亿美元的损失。研究结果显示,大型企业发生API相关安全事件的比例更高,营收在1000亿美元以上的企业遭遇API安全问题的可能性是中小企业的3-4倍。该数据概况表明,大型企业正在加速数字化转型,尤其容易受到与未受保护的API相关的安全风险的影响。API充当一种无形的连接结构,使应用程序能够共享数据,最终改善用户体验。研究表明,现阶段企业使用的API数量正在快速增长。近一半的企业内部或公开部署了50-500个API,一些规模稍大的企业甚至部署了1000多个活跃API。许多企业部署的API直接连接到存储敏感数据的后端数据库。因此,网络攻击者越来越多地使用API作为进入底层基础设施窃取敏感信息的方式。如今,不安全的API占13起网络事件中的1起,随着API数量翻番,这一比例预计在未来几年将继续增长。此外,该研究发现行业之间存在巨大差异,信息技术、专业服务和零售等行业最有可能遇到与API相关的安全事件。Imperva产品管理高级副总裁兼应用程序安全总经理KarlTriebes表示,如果没有解决API安全问题的策略,全球企业每年将继续损失巨额资金。为了减轻与API相关的日益增长的安全威胁,企业需要能够发现其环境中的所有API并了解API中的数据流。提高API安全性的建议:识别和分类流经每个API的数据:可见性对于理解每个API的完整架构以及识别和分类流经它的数据以评估风险至关重要;自动发现:API的生成快速且经常修改,使它们成为许多组织的盲点。通过自动化,组织可以消除“有病”的API。此外,通过自动化API清单,安全团队可以清楚地看到开发人员何时在生产中修改API;启用API治理:对于高度监管行业中的实体,API治理模型至关重要,并且只有当可见性超出API时才有可能这只有在端点并扩展到底层有效负载时才有可能,因此敏感数据可以得到充分保护。最后,Triebes强调,每一个与API相关的安全事件的根源都是数据,保护API需要转变思维,重点是对数据进行分类,了解生产中的每个API如何访问数据。安全和开发团队需要共同努力,将安全嵌入到开发生命周期中。不幸的是,在此之前,网络犯罪分子将继续利用易受攻击的API来大量窃取敏感数据。注:本文内容收集自helpnetsecurity.com,作者对其完整性负责,不对其真实性和有效性负责。参考文章:https://www.helpnetsecurity.com/2022/06/28/properly-securing-apis/
