API安全是当今企业面临的最严峻的网络安全挑战之一。在过去12个月中,API攻击增加了681%,而整体API流量也增加了321%。根据Salt的2022年第一季度API安全状况报告,恶意API调用从2020年12月的平均每个客户每月273万次激增至2021年12月的2132万次。Salt的客户拥有Web应用程序防火墙,而且几乎所有客户都有API网关,但API攻击正在绕过这些安全控制。API安全性的爆发式增长失控API攻击也扼杀了业务创新。例如,62%的企业承认由于API安全问题而推迟了新产品的发布和应用程序的推出。此外,95%的DevOps领导者和团队表示他们在过去12个月内经历过一次API安全事件。三分之一的DevOps组织表示,尽管在生产环境中运行API,但他们的公司缺乏任何API安全策略。据Gartner预测,到2024年,API攻击将加速并翻一番。与此同时,API承载的业务量也在快速增长。从2019年到2021年,API相关查询量将稳步增长,平均同比增长33%。DevOps领导者面临着在预算范围内按时交付数字化转型项目的压力,同时还要开发和微调API。不幸的是,当DevOps团队急于赶上项目截止日期时,API安全管理往往是事后才想到的。当企业中的所有DevOps团队都没有所需的API管理工具和安全保护时,API安全问题可能会迅速失控。更多DevOps团队需要一种可靠、可扩展的方法来防止API安全失控。此外,DevOps团队还需要将API管理转移到零信任框架,以降低数据泄露的风险。API保护的六个阶段CequenceSecurity和Forrester在DevOps和API安全网络研讨会中提出了API保护的六个阶段。“每天使用扩展API处理数百个应用程序的最大型组织,随着它们继续数字化,未来将面临数万或数十万个API。因此,管理和跟踪API将成为一个挑战。这样做要困难得多,”Forrester首席分析师SandyCarielli在网络研讨会上说。SequenceSecurity将API保护分为六个阶段。第一阶段从发现和识别所有面向公众的API开始,然后推进到清单、合规性、检测、预防和检测(如下):根据CequenceSecurity的说法,在整个API安全性中采用集成的、基于迭代生命周期的方法生命周期有助于识别和管理API,同时有效检测和防止API攻击。Forrester首席分析师SandyCarielli指出,API需要作为易受攻击、未受保护的开放攻击面进行管理。网络犯罪分子知道API保护不力,API攻击近年来一直保持着三位数的增长速度。企业迫切需要使用零信任框架进行API安全管理。API攻击面管理需要零信任CapitalOne、JustDial、Venmo、PaneraBread、T-Mobile、美国邮政服务等公司的API漏洞表明,数以千计的API未受到保护,是网络犯罪分子最喜欢的攻击面之一。API需要最少的特权访问,并使用更基于微分段的方法进行管理。零信任的这两个要素与用于管理API的身份和访问管理(IAM)框架相结合,将减少企业目前正在努力追查的“流氓API”和“缺失API”的数量。此外,应用最小权限、微分段和IAM将减少用于内部测试的端点数量(这些端点保持开放以访问API)。API生命周期需要建立在零信任的基础上。安全控制不应成为DevOps的绊脚石。将零信任嵌入API生命周期的第一步是不信任客户端提供的数据,并使用默认拒绝流程删除所有隐式信任。DevOps领导者需要在API生命周期的每个阶段构建身份验证。目标需要是为每个API开发和部署项目设计明确的信任规则。基于零信任的有效API治理DevOps领导者及其团队需要帮助来平衡其业务对API不断增长的需求与保持合规性以支持新的数字化转型项目的需求。面对快速创建API的压力,DevOps团队首先加速业务收益,并在开发时间表允许的情况下努力赶上合规性、安全性和隐私性。安全控制必须转移到API级别的信任,为生成的每种类型的API定义安全上下文。使用零信任执行CI/CD和SDLC对源代码供应链的攻击表明,零信任必须成为DevOps框架和流程的核心,例如持续集成/持续交付(CI/CD)和SDLC。像SolarWinds这样的软件供应链攻击成功地改变了应用程序的核心可执行文件,然后感染了整个供应链,使零信任成为当今DevOps团队面临的紧迫问题,只能通过在SDLC设计阶段纳入安全措施来解决。让安全不再成为代码生产的障碍。SDLC周期也将运行得更快,因为安全将不再是项目结束后的附加过程,这将大大改善代码安全治理。API安全不能是事后的想法为了按时完成大型数字化转型项目,许多DevOps团队领导急于完成API发布周期,同时将安全视为完成工作的障碍。这会导致API安全检查和审计非常草率甚至缺失。DevOps团队中的每个人都被迫满足或超过代码发布日期。API安全成为一个没有人有时间处理的额外过程,导致API安全问题悄然出现。当零信任成为API和DevOps流程的设计目标时,只能在整个SDLC中加强安全性。此外,IAM和微分段将大大提高库存准确性,减少恶意或遗忘API的威胁,并防止整个平台或公司因网络攻击而瘫痪。
