万圣节并不是僵尸、阴影和幽灵的唯一时间。事实上,这些令人讨厌的问题正以API的形式隐藏在企业的数字基础设施中,不断扩大组织的网络攻击面。这些可怕的僵尸API、影子API、幽灵API产生的主要原因是API蔓延,这已成为现代企业数字化转型发展的重大挑战。API蔓延的原因当组织缺乏适当的API可见性、治理机制和生命周期策略时,可怕的API威胁(例如僵尸、影子和幽灵)就会出现,并对业务运营造成损害。挥之不去的“僵尸”API(ZombieAPI)ZombieAPI是指一些暴露的API或API端点已经过时和被遗弃。当组织对迁移没有适当的控制时,弃用和过时的遗留API可能永远存在,从而形成“僵尸”API。由于在没有任何持续的功能或安全补丁、维护或更新的情况下,它们在很大程度上被遗忘和忽略,因此僵尸API构成了严重的安全风险。事实上,根据SaltSecurityState发布的《API安全研究报告》,机器人API是组织需要关注的头号API安全问题。影子API是在安全监控之外创建和部署的API端点。这些讨厌的API有时是从影子IT中产生的。开发人员通常希望更快地部署API或端点,这也导致了大量影子API。影子API带来的安全风险包括:没有适当的身份验证和授权;不当暴露敏感数据;不遵循最佳实践并且更容易受到攻击。无处不在的“幽灵”API(GhostAPI)幽灵API的概念是指由第三方开发(或代写)并在组织的生产环境中公开使用的API。GhostAPI可以暴露在任何地方:打包的应用程序(商业和开源)、基于SaaS的服务、本地和基于云的基础设施组件(例如虚拟设备上的管理API)等等。许多组织有意依赖第三方在其扩展基础设施中开发的API,作为其功能性数字供应链和日常基础设施管理的一部分。但是,有时会无意中暴露第三方API。此外,由于第三方开发的API没有在完善的DevOps周期中发布,它们往往没有得到适当的治理、测试、监控和维护,这也给应用程序带来了大量的安全风险。根据最新的研究统计,目前公有和私有API应用数量接近2亿,到2031年,这个数量可能会超过10亿。鉴于这种快速的应用程序增长趋势,API蔓延的问题在各个组织中变得非常普遍。主要原因包括:缺乏全球API标准是API蔓延如此普遍的原因之一。没有标准意味着需要创建多个独立的API来提供一个功能。如果API未配置为协同工作,则可能会导致兼容性问题;大多数企业都在走向微服务架构,而API往往是微服务架构和容器化的重要组成部分,这也导致它们受到影响。人气上升了;持续的软件开发是API蔓延的另一个常见原因。每个新版本都会有新的API,或者需要现有的API版本升级;不同部门之间缺乏沟通也是API蔓延的一个常见原因,因为每个部门都可能开发自己的API;边缘计算或“一切即服务”(EaaS)等新技术的兴起导致了更多API的创建和应用。API蔓延的风险当今企业所依赖的许多服务都依赖于API。如果组织未能适当的API治理到位,整个数字业务系统有崩溃的风险以下是API蔓延带来的主要风险:1.浪费时间和资源在当今高度饱和的商业世界中,保持竞争力对公司来说比以往任何时候都更加重要。因此,领导者必须考虑每一个减少开支和削减成本的机会。开发、实施和部署您不需要的软件肯定是在烧钱。通过减少API蔓延来节省资金可以通过允许企业将这些资源投资于2.未管理或管理不善的API容易出现服务中断,导致产品性能不佳或受损。通常,API基础设施就像一个c的房子ards,其中一件的损坏可能会使整个房子倒塌。这是API蔓延需要在失控之前停止的另一个原因,同时要考虑到用户对系统正常运行的期望和需求。3.引发安全风险不受管理和过时的API是Web中常见的安全风险来源。了解所有API的位置、它们在做什么以及什么在与什么进行交互对于确保系统安全非常重要。随着API数量和应用程序复杂性的不断增长,跟踪API位置将变得越来越困难。在组织内部和外部发现它们可能很困难,并且会影响端到端连接。此外,API容易出现欺诈和恶意行为。外部API访问必须经过持续验证才能获得信任,但如果内部API密钥被泄露,攻击者可以轻松访问关键基础设施和数据。API蔓延的防范措施API蔓延将加剧企业在业务发展和安全运营方面的挑战,需要尽早采取积极措施应对API蔓延。1.制定API治理计划指定一个集中的API管理计划可以大大防止API失控。它还使查找、连接和保护API变得更加容易,这也有助于避免API蔓延。拥有集中的API治理策略可以帮助组织将API架构、层次结构等概念化。还可以更轻松地实施企业范围的API策略,例如速率限制或授权。2.集中统一管理API跟踪API是一件棘手的事情,当API蔓延失控时,它会变得更加复杂。拥有一个集中的API发现和管理解决方案可以集中管理所有API,这样每个人都可以快速找到和使用它们,还有助于避免影子API或有风险的机器人端点。3.跟踪API指标API架构很快就会变得非常复杂。根据规模,组织可能需要整个开发团队来跟踪每个API的位置以及它们的交互方式。通过监控API指标,企业可以了解所有API在整个组织中的执行情况。否则,将很难优化或保护Web应用程序。4.标准化整个组织的API安全目前,90%使用API的组织都经历过某种程度的安全事件。可以说,每创建一个新的API,网络犯罪分子就可能有更多的利用空间。这也可能导致API的误用和滥用,从而导致API进一步蔓延。5.寻求通用解决方案API的采用只会增加。因此,最好在问题失控之前解决API蔓延问题。创建一个确保所有API都可发现并能够相互通信的通用解决方案将有助于阻止API蔓延并缓解许多其他问题。6.遵循API规范遵循API规范(如OpenAPI)并不复杂,但可以有效减少API蔓延,因为它更容易观察API及其所有组件。这大大降低了API在混乱中丢失或遗忘的可能性。此外,遵循API规范可以使API应用程序生成自动化文档,进一步降低API蔓延的风险。参考链接:https://salt.security/blog/are-you-haunted-by-zombie-shadow-and-ghost-apishttps://nordicapis.com/7-methods-to-prevent-api-sprawl-在-你的组织/
