【zol中關村在線原創專訪】在當今數字化浪潮中,應用程序編程介面(api)作為連接不同應用程序、系統和服務的橋樑,已成為企業數字化轉型的關鍵要素。然而,隨著api的廣泛應用,針對api的攻擊也日益頻繁、複雜且規模龐大,給企業帶來了巨大的安全挑戰。
akamai的研究顯示,從2023年1月到2024年6月期間,亞太地區總計記錄到了1080億次api攻擊,api攻擊占所有web攻擊的15%。這些攻擊不僅對企業的網路安全構成威脅,還可能導致嚴重的財務損失、聲譽損害以及客戶信任的流失。
在過去的一年多時間裡,亞太地區的api攻擊呈現出快速增長的趨勢。這些攻擊利用api的開放性和互聯性,通過各種手段如sql注入、跨站腳本攻擊、惡意數據請求等,試圖獲取敏感信息、破壞系統功能或癱瘓業務運營。
中國、日本、印度和澳大利亞四國的企業都未能倖免,遭遇了不同程度的api安全事件。研究發現,85%的企業在過去12個月內遭遇了api安全事件,其中澳大利亞的企業經歷安全事件的比例最高達到95%,中國為83%,印度和日本均為82%。這些安全事件給企業帶來了沉重的負擔。
以中國為例,企業在解決api安全事件上花費的成本高達5,687,373元人民幣,在四國中位居首位。日本、印度和澳大利亞的企業也分別面臨著不同程度的財務壓力。此外,api安全事件還導致了團隊壓力的增加、客戶信任的流失以及內部審查的加強等多方面的負面影響。企業需要投入大量的資源和精力來應對這些事件,包括修復漏洞、恢復系統、調查攻擊原因以及採取防範措施等。
api的安全威脅
在面對api安全威脅時,中國、日本、印度和澳大利亞四國的企業在安全優先順序、認知和應對措施等方面存在著顯著的差異。
中國將「保護api免受攻擊」列為網路安全的首要任務,27.6%的中國受訪者將其視為第一要務。這表明中國政府和企業已經深刻認識到api安全對於國家網路安全和數字化經濟發展的重要性。
中國的安全專業人員和應用安全團隊對api安全事件的成本估計較高,分別為6,733,916元人民幣和6,622,503元人民幣,這也反映出他們對 api 安全風險的高度敏感性和重視程度。
在行業方面,中國的零售業api安全事件發生率高達100%,而保險行業最低,僅為72%。
相比之下,日本對api安全的重視程度較低,「保護api免受攻擊」在日本僅排在第四位,排在「抵禦勒索軟體」「siem」和「防止數據丟失」之後。儘管如此,日本的汽車、醫療保健和製造業等大量使用api的行業中,仍有60%的受訪者表示經歷過安全事件。這表明日本企業在api安全方面可能存在一定的認知差距和防護不足。
此外,在日本,只有8%的汽車公司知道哪些api會返回敏感數據,這一比例非常低,凸顯了日本企業在api敏感數據管理上的薄弱環節。印度的調查結果顯示員工與領導層之間存在嚴重的脫節問題。
在api安全事件的發生率方面,印度與日本基本一致,82%的印度受訪者表示他們在去年中經歷過api安全事件。然而,印度的高管層(77%)和資深安全專業人員(75%)遠多於應用安全團隊(41%)表示擁有完整的api清單。這種脫節可能導致企業在api安全管理上缺乏統一的策略和有效的執行,影響了api安全防護的效果。同時,印度的能源/公用事業和醫療保健行業受到生成式ai工具中api漏洞的影響較大,這與印度在這些領域的數字化轉型和技術創新密切相關。
澳大利亞在過去12個月內的api安全事件發生率最高,有95%的受訪者表示經歷過安全事件。儘管如此,「保護api免受攻擊」在澳大利亞企業的網路安全優先事項中僅位列第四,排在「保護端點的安全」「管理和保護開發人員機密信息」和「siem」之後。澳大利亞企業在api安全事件成本估計上差異較大,高管層估計的成本為639,000澳元(約合2,985,152人民幣),而應用安全團隊估計的成本為308,000澳元(約合1,438,760人民幣)。此外,澳大利亞的金融服務、醫療保健和製造業等行業的資深安全專業人員將「監管機構的罰款」視為 api 安全事件的首要影響,這表明這些行業對合規性要求的重視程度較高。
企業內部,高管與一線安全人員在api安全事件的認知上存在顯著的分歧。這種脫節體現在多個方面,包括對api安全事件發生率、成本估計、主要原因以及影響的理解等。在中國,高管層估計的api安全事件成本僅為一線人員的一半。這種差異可能導致企業在制定安全預算和資源分配時出現偏差,無法充分滿足api安全防護的實際需求。
同樣,在日本,資深安全專業人員估計的成本支出最高,而應用安全團隊估計的成本支出最低,這也反映出企業內部不同角色對api安全事件成本的不同認知和評估。總體來看,92%的高管層受訪者表示其企業在過去12個月內經歷過api安全事件,而應用安全團隊中持有相同看法的比例為80%。
在中國,這一差距更大,97%的高管層受訪者表示經歷過安全事件,而安全專業人員和應用安全團隊中持有相同看法的比例分別為78%和74%。這種對安全事件發生率認知的不一致可能導致企業在應對api安全威脅時缺乏準確的判斷和有效的決策。api安全事件的影響是多方面的,不僅給企業帶來直接的經濟損失,還會對企業的聲譽、客戶關係、內部團隊壓力以及合規性等方面產生深遠的影響。
企業為解決 api 安全事件需要投入大量的資金,包括修復漏洞、恢復系統、賠償客戶損失、支付監管罰款等。如前文所述,中國企業在過去12個月內解決api安全事件上花費的成本最高,達到5,687,373元人民幣。這些財務損失可能對企業的經營業績和盈利能力造成一定的衝擊。
應對api安全挑戰的策略
面對api安全的嚴峻挑戰,akamai北亞區技術總監劉燁表示,企業需要採取積極有效的措施來構建全面的api安全策略,以保護關鍵數據、客戶關係和內部團隊成員。企業首先需要在api安全事件的原因、影響和優先順序上達成共識。這要求企業加強內部溝通和培訓,提高高管層對api安全風險的認識,使其了解api安全事件對企業戰略和業務運營的潛在影響。
akamai北亞區技術總監 劉燁
同時,促進安全團隊、開發團隊、運維團隊等之間的協作與交流,共同制定api安全策略和措施。企業需要藉助自動化工具來全面發現和監測所有的api資產,包括那些未被管理的api。通過自動化的方式,可以及時了解api的數量、位置、調用關係等信息,以便更好地進行安全管理。例如,akamai提供的api安全解決方案可以通過網路流量分析和api掃描技術,自動發現企業內部和外部的api,並對其進行實時監測和分析。企業應採用先進的api安全測試技術,如靜態分析、動態分析、模糊測試等,在 api 的開發、部署和生產環境中進行全面的測試。確保api的編碼質量、功能正確性和安全性,及時發現和修復潛在的漏洞。
例如,企業可以在開發階段使用靜態代碼分析工具來檢測api代碼中的安全漏洞,在測試階段使用動態測試工具來模擬各種攻擊場景,驗證api的安全性和穩定性。企業需要對api的設計、開發、部署和運營過程進行全面的文檔記錄,包括api的功能描述、數據格式、調用方式、安全要求等。
這不僅有助於開發人員和維護人員更好地理解和使用api,還可以為安全審計和合規性檢查提供依據。同時,企業應定期審查和更新api文檔,確保其準確性和完整性。利用api安全解決方案的自動運行時檢測功能,企業可以實時監控api的交互活動,區分正常和異常行為。
通過機器學習、行為分析等技術,對api流量進行深度分析,及時發現並攔截可疑行為,防止攻擊者對api的惡意利用。例如,akamai的api安全解決方案可以通過分析api 請求的頻率、參數、來源等特徵,建立正常行為基線,當檢測到異常行為時,及時發出警報並採取相應的防護措施。企業應將api安全解決方案與現有的安全產品組合(例如waf或web應用程序和api 保護)進行集成,實現對高風險行為的發現和攔截。通過建立多層次的安全防護體系,企業可以在可疑流量抵達關鍵資源之前進行有效地攔截,防止安全事件的發生。
例如,企業可以利用waf對api請求進行初步的過濾和防護,同時結合api安全解決方案的深度檢測和分析功能,對可疑行為進行精準識別和攔截。在api安全防護更為成熟的階段,企業可以對過往的威脅數據進行取證分析,了解系統是否正確識別不同的威脅並觸發相應的告警,並確認是否出現了新型攻擊模式。通過將先進工具與人類智慧相結合的主動威脅搜尋功能,企業可以及時發現和應對潛在的安全威脅,不斷提升 api 安全防護的能力和水平。
寫在最後
api安全已經成為企業在數字化轉型過程中必須面對和解決的關鍵問題。亞太四國的企業在api安全方面面臨著嚴峻的挑戰,但也認識到加強api安全防護的重要性。通過統一內部認知、構建全面的api安全策略、採用先進的技術和工具以及加強行業合作與交流,企業可以有效應對api安全威脅,保護自身的核心利益和可持續發展能力。
在未來,隨著技術的不斷進步和安全意識的不斷提高,我們有理由相信api安全防護將得到進一步地加強和完善,為企業的數字化轉型和創新發展提供更加堅實可靠的保障。
