【zol中关村在线原创专访】在当今数字化浪潮中,应用程序编程接口(api)作为连接不同应用程序、系统和服务的桥梁,已成为企业数字化转型的关键要素。然而,随着api的广泛应用,针对api的攻击也日益频繁、复杂且规模庞大,给企业带来了巨大的安全挑战。
akamai的研究显示,从2023年1月到2024年6月期间,亚太地区总计记录到了1080亿次api攻击,api攻击占所有web攻击的15%。这些攻击不仅对企业的网络安全构成威胁,还可能导致严重的财务损失、声誉损害以及客户信任的流失。
在过去的一年多时间里,亚太地区的api攻击呈现出快速增长的趋势。这些攻击利用api的开放性和互联性,通过各种手段如sql注入、跨站脚本攻击、恶意数据请求等,试图获取敏感信息、破坏系统功能或瘫痪业务运营。
中国、日本、印度和澳大利亚四国的企业都未能幸免,遭遇了不同程度的api安全事件。研究发现,85%的企业在过去12个月内遭遇了api安全事件,其中澳大利亚的企业经历安全事件的比例最高达到95%,中国为83%,印度和日本均为82%。这些安全事件给企业带来了沉重的负担。
以中国为例,企业在解决api安全事件上花费的成本高达5,687,373元人民币,在四国中位居首位。日本、印度和澳大利亚的企业也分别面临着不同程度的财务压力。此外,api安全事件还导致了团队压力的增加、客户信任的流失以及内部审查的加强等多方面的负面影响。企业需要投入大量的资源和精力来应对这些事件,包括修复漏洞、恢复系统、调查攻击原因以及采取防范措施等。
api的安全威胁
在面对api安全威胁时,中国、日本、印度和澳大利亚四国的企业在安全优先级、认知和应对措施等方面存在着显著的差异。
中国将“保护api免受攻击”列为网络安全的首要任务,27.6%的中国受访者将其视为第一要务。这表明中国政府和企业已经深刻认识到api安全对于国家网络安全和数字化经济发展的重要性。
中国的安全专业人员和应用安全团队对api安全事件的成本估计较高,分别为6,733,916元人民币和6,622,503元人民币,这也反映出他们对 api 安全风险的高度敏感性和重视程度。
在行业方面,中国的零售业api安全事件发生率高达100%,而保险行业最低,仅为72%。
相比之下,日本对api安全的重视程度较低,“保护api免受攻击”在日本仅排在第四位,排在“抵御勒索软件”“siem”和“防止数据丢失”之后。尽管如此,日本的汽车、医疗保健和制造业等大量使用api的行业中,仍有60%的受访者表示经历过安全事件。这表明日本企业在api安全方面可能存在一定的认知差距和防护不足。
此外,在日本,只有8%的汽车公司知道哪些api会返回敏感数据,这一比例非常低,凸显了日本企业在api敏感数据管理上的薄弱环节。印度的调查结果显示员工与领导层之间存在严重的脱节问题。
在api安全事件的发生率方面,印度与日本基本一致,82%的印度受访者表示他们在去年中经历过api安全事件。然而,印度的高管层(77%)和资深安全专业人员(75%)远多于应用安全团队(41%)表示拥有完整的api清单。这种脱节可能导致企业在api安全管理上缺乏统一的策略和有效的执行,影响了api安全防护的效果。同时,印度的能源/公用事业和医疗保健行业受到生成式ai工具中api漏洞的影响较大,这与印度在这些领域的数字化转型和技术创新密切相关。
澳大利亚在过去12个月内的api安全事件发生率最高,有95%的受访者表示经历过安全事件。尽管如此,“保护api免受攻击”在澳大利亚企业的网络安全优先事项中仅位列第四,排在“保护端点的安全”“管理和保护开发人员机密信息”和“siem”之后。澳大利亚企业在api安全事件成本估计上差异较大,高管层估计的成本为639,000澳元(约合2,985,152人民币),而应用安全团队估计的成本为308,000澳元(约合1,438,760人民币)。此外,澳大利亚的金融服务、医疗保健和制造业等行业的资深安全专业人员将“监管机构的罚款”视为 api 安全事件的首要影响,这表明这些行业对合规性要求的重视程度较高。
企业内部,高管与一线安全人员在api安全事件的认知上存在显著的分歧。这种脱节体现在多个方面,包括对api安全事件发生率、成本估计、主要原因以及影响的理解等。在中国,高管层估计的api安全事件成本仅为一线人员的一半。这种差异可能导致企业在制定安全预算和资源分配时出现偏差,无法充分满足api安全防护的实际需求。
同样,在日本,资深安全专业人员估计的成本支出最高,而应用安全团队估计的成本支出最低,这也反映出企业内部不同角色对api安全事件成本的不同认知和评估。总体来看,92%的高管层受访者表示其企业在过去12个月内经历过api安全事件,而应用安全团队中持有相同看法的比例为80%。
在中国,这一差距更大,97%的高管层受访者表示经历过安全事件,而安全专业人员和应用安全团队中持有相同看法的比例分别为78%和74%。这种对安全事件发生率认知的不一致可能导致企业在应对api安全威胁时缺乏准确的判断和有效的决策。api安全事件的影响是多方面的,不仅给企业带来直接的经济损失,还会对企业的声誉、客户关系、内部团队压力以及合规性等方面产生深远的影响。
企业为解决 api 安全事件需要投入大量的资金,包括修复漏洞、恢复系统、赔偿客户损失、支付监管罚款等。如前文所述,中国企业在过去12个月内解决api安全事件上花费的成本最高,达到5,687,373元人民币。这些财务损失可能对企业的经营业绩和盈利能力造成一定的冲击。
应对api安全挑战的策略
面对api安全的严峻挑战,akamai北亚区技术总监刘烨表示,企业需要采取积极有效的措施来构建全面的api安全策略,以保护关键数据、客户关系和内部团队成员。企业首先需要在api安全事件的原因、影响和优先级上达成共识。这要求企业加强内部沟通和培训,提高高管层对api安全风险的认识,使其了解api安全事件对企业战略和业务运营的潜在影响。
akamai北亚区技术总监 刘烨
同时,促进安全团队、开发团队、运维团队等之间的协作与交流,共同制定api安全策略和措施。企业需要借助自动化工具来全面发现和监测所有的api资产,包括那些未被管理的api。通过自动化的方式,可以及时了解api的数量、位置、调用关系等信息,以便更好地进行安全管理。例如,akamai提供的api安全解决方案可以通过网络流量分析和api扫描技术,自动发现企业内部和外部的api,并对其进行实时监测和分析。企业应采用先进的api安全测试技术,如静态分析、动态分析、模糊测试等,在 api 的开发、部署和生产环境中进行全面的测试。确保api的编码质量、功能正确性和安全性,及时发现和修复潜在的漏洞。
例如,企业可以在开发阶段使用静态代码分析工具来检测api代码中的安全漏洞,在测试阶段使用动态测试工具来模拟各种攻击场景,验证api的安全性和稳定性。企业需要对api的设计、开发、部署和运营过程进行全面的文档记录,包括api的功能描述、数据格式、调用方式、安全要求等。
这不仅有助于开发人员和维护人员更好地理解和使用api,还可以为安全审计和合规性检查提供依据。同时,企业应定期审查和更新api文档,确保其准确性和完整性。利用api安全解决方案的自动运行时检测功能,企业可以实时监控api的交互活动,区分正常和异常行为。
通过机器学习、行为分析等技术,对api流量进行深度分析,及时发现并拦截可疑行为,防止攻击者对api的恶意利用。例如,akamai的api安全解决方案可以通过分析api 请求的频率、参数、来源等特征,建立正常行为基线,当检测到异常行为时,及时发出警报并采取相应的防护措施。企业应将api安全解决方案与现有的安全产品组合(例如waf或web应用程序和api 保护)进行集成,实现对高风险行为的发现和拦截。通过建立多层次的安全防护体系,企业可以在可疑流量抵达关键资源之前进行有效地拦截,防止安全事件的发生。
例如,企业可以利用waf对api请求进行初步的过滤和防护,同时结合api安全解决方案的深度检测和分析功能,对可疑行为进行精准识别和拦截。在api安全防护更为成熟的阶段,企业可以对过往的威胁数据进行取证分析,了解系统是否正确识别不同的威胁并触发相应的告警,并确认是否出现了新型攻击模式。通过将先进工具与人类智慧相结合的主动威胁搜寻功能,企业可以及时发现和应对潜在的安全威胁,不断提升 api 安全防护的能力和水平。
写在最后
api安全已经成为企业在数字化转型过程中必须面对和解决的关键问题。亚太四国的企业在api安全方面面临着严峻的挑战,但也认识到加强api安全防护的重要性。通过统一内部认知、构建全面的api安全策略、采用先进的技术和工具以及加强行业合作与交流,企业可以有效应对api安全威胁,保护自身的核心利益和可持续发展能力。
在未来,随着技术的不断进步和安全意识的不断提高,我们有理由相信api安全防护将得到进一步地加强和完善,为企业的数字化转型和创新发展提供更加坚实可靠的保障。
