企业保护 API 安全迫在眉睫
2022-6-29 11:42:8 Author: www.freebuf.com(查看原文) 阅读量:11 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

最近,Imperva 发布了一项新的研究结果,揭示了易受攻击的 API 全球成本正在不断上升,在对近 117000 起特定的网络安全事件分析估计,发现 API 安全威胁每年导致 410-750 亿美元的损失。1656474172_62bbca3cbf3eaed4520e1.png!small?1656474174073

从研究结果来看,大型企业发生 API 相关安全事件的比例更高,收入至少为 1000 亿美元的企业遇到 API 安全问题的可能性是中小型企业的 3-4 倍。这一数据侧面表明,大型企业正在加速数字化转型,特别容易受到与未受保护API 有关的安全风险影响。

API 作为一种无形的连接组织,使应用程序能够共享数据,最终改善了用户体验。研究表明,现阶段,企业使用的 API 数量正在迅速增长,近一半企业在内部或公开部署了 50-500 个 API,一些稍大型企业甚至部署了超过 1000 个活跃的API。

企业部署的许多 API 是直接连接到储存敏感数据的后端数据库,因此,网络攻击者越来越多地将 API 作为进入底层基础设施的途径,以窃取敏感信息。当今,每 13 起网络事件中,就有 1 起是因 API 不安全造成,随着 API 数量成倍增加,预计在未来几年内,这一占比将会继续增长。

另外,该研究还发现了行业之间也存在巨大差异,信息技术、专业服务和零售业等行业最有可能遭受与 API 相关的安全事件。

1656474179_62bbca43a3521b152e299.png!small?1656474180958

Imperva 产品管理高级副总裁、应用安全部总经理 Karl Triebes 表示,如果没有解决 API 安全问题的战略,世界各地的企业每年将持续损失巨大资金,为了缓解不断增长的 API 相关安全威胁,企业需要能够发现其环境中所有的API并清楚数据在 API 流动动向。

提高 API 安全性的建议:

1. 识别和分类流经每个 API 的数据:可见性对于理解每个 API 的完整架构以及识别和分类流经它的数据以便评估风险至关重要;

2. 自动发现:API 的生成速度快且经常修改,这使它们成为许多组织的盲点。通过自动化,组织可以消除“顽疾”API。此外,通过自动化 API 清单,安全团队可以清晰看到开发人员在生产中修改API 的情况;

3. 启用API治理:对于高度监管行业的实体组织来说,API 治理模式至关重要,只有在可见性超出 API 端点并延伸到底层有效载荷的情况下才有可能,因此可以充分保护敏感数据。

最后,Triebes 强调,每个与 API 相关的安全事件的根源都是数据,保护API 需要转变思维方式,重点是要对数据进行分类,了解生产中的每个 API 是如何访问数据的,这种方式需要安全和开发团队共同努力,将安全嵌入到开发生命周期中。

遗憾的是,在做到这些之前,网络犯罪分子将继续利用脆弱的 API,大量窃取敏感数据。

注:本文内容收集自 helpnetsecurity.com,制作者对其完整性负责,但不对其真实性和有效性负责。

参考文章:

https://www.helpnetsecurity.com/2022/06/28/properly-securing-apis/


文章来源: https://www.freebuf.com/news/337634.html
如有侵权请联系:admin#unsafe.sh