安全419了解到, API 安全公司Salt Security近日发布了一份 API 安全状况报告。最新的调查显示,95% 的受访组织在过去 12 个月中都经历过 API 安全事件。尽管攻击和安全事件在急剧增加,但这些都在运行 API 的组织仍然没有为防御 API 攻击做好准备,34% 的受访者缺乏任何类型的 API 安全策略。这种防御的缺乏给企业带来了巨大的商业风险,表现为业务创新速度减慢、消费者信心受损以及现代化工作受到干扰。
据了解,API 安全状态报告结合了来自 Salt SaaS 云平台的调查反馈和实践数据。被其平台阻止的针对 Salt 客户的攻击尝试急剧增加——恶意 API 流量增加了 681%,而整体 API 流量才增加了 321%。值得注意的是,62% 的受访者承认,由于 API 安全问题而放慢了新应用程序的推出速度。
“为了蓬勃发展,每家公司都必须是一家软件公司,而 API 是其应用创新的核心。”Salt Security 联合创始人兼首席执行官 Roey Eliyahu 表示,数字业务已成为我们现代经济的领导者,同时也成为恶意攻击者的主要目标。“我们看到 API 攻击逐年显著增加,更令人担忧的是,API 使用和攻击的增长速度持续超过企业的准备和防御。企业必须投入时间和精力来了解 API 攻击形势,以及保护其最重要资产所需的关键能力。”
几乎所有调查对象 (95%) 都在他们的生产 API 中发现了安全事件,因此迫切需要制定一套强大的 API 安全策略。报告指出Salt 客户的攻击频率也越来越高,12% 的客户平均每月遭受 500 次以上攻击。
“尽管组织已尽最大努力在将 API 发布到生产环境之前对其进行验证,但 API 是一个很有吸引力的攻击媒介,”Salt Security 技术宣传员 Michael Isbitski 说。“鉴于传统的安全和 API 管理平台无法抵御针对 API 独特业务逻辑的复杂攻击,攻击者继续得逞并使企业面临风险也就不足为奇了。”
安全问题是 API 策略中的首要问题
调查受访者发现,他们对公司的 API 程序有各种各样的担忧,40% 的人认为安全性是他们最担心的问题。生产前安全性投资不足位居榜首,占 22%,另有 18% 的受访者担心程序没有充分解决运行时的安全性问题。
大多数企业都没有为 API 攻击做好准备
遗憾的是,高度公开的安全事件带来的警示和安全专业人员对于实施 API 安全保护的呼吁并不足以推动大多数组织采取有效的 API 安全策略。在受访者中,34% 的人没有制定相关战略,略多于四分之一 (27%) 的人只有基本战略。只有 11% 的企业拥有包含专用 API 测试和保护的高级策略。
调查结果还支持这样一种观点,即预算和技能差距在这种准备不足的情况下发挥了作用————缺乏专业知识或资源 (35%) 和预算限制 (20%) 是实施最佳 API 安全策略的最大障碍。
过度依赖“左移”实践继续让企业受挫
由于运行时保护是有效保护 API 的基础,并且 95% 的受访者在去年经历过 API 安全事件,因此 API 安全的“左移”策略被证明是不充分的。随着 IT 团队继续在 API 安全性的“所有权”问题上存在分歧,这个问题被放大了。超过一半的受访者表示,主要责任在于开发人员、DevOps 或 DevSecOps。只有 31% 的受访者将 API 安全责任交给 AppSec 或 InfoSec 团队。
WAF 和 API 网关不足以抵御 API 攻击
对传统安全和 API 管理工具(如 Web 应用程序防火墙 (WAF) 和 API 网关)的依赖使许多组织产生了错误的安全感。95% 的受访者在去年经历过 API 安全事件,55% 的受访者依赖网关的警报,37% 的受访者使用 WAF 来识别攻击者,这一事实表明了能力上的差距。API 安全性依赖日志文件分析 (45%) 同样无效——当日志文件被解析时,攻击者早已带走了有价值的数据和有效负载。
阻止 API 攻击仍然是 API 安全平台的首要标准
连续多次的调研都反应,更多的受访者 (42%) 将阻止 API 攻击列为他们在 API 安全平台中寻求的最重要功能。紧随其后的是确定哪些 API 会暴露个人身份信息 (PII) 和敏感数据 (41%)。随着时间的推移强化 API 的能力排在第三位 (38%),满足合规性或监管要求排在第四位 (36%)。
API 安全状况报告的其他发现:
·“僵尸”或过时 API 的风险在 API 安全问题列表中名列前茅,43% 的受访者将其列为最大担忧。账户接管排在第二位,22% 的人将这种风险作为他们最关心的问题。
·API 变更呈上升趋势——9% 的受访者每天更新其 API,31% 每周更新,24% 的更新频率低于每月。
·86% 的受访者对他们知道哪些 API 会暴露敏感数据缺乏信心。
·85% 的受访者指出,他们当前的工具无法有效阻止 API 攻击。
·83% 的受访者对他们的 API 库存缺乏信心。
API 安全正在改善安全团队的工作方式
尽管组织对于谁应该为 API 安全负责的观点大相径庭,但安全和 DevOps 团队之间的协作和共享投入正在增加。超过三分之一 (34%) 的受访者表示,由于解决了 API 安全问题,安全团队与 DevOps团队 的合作更多,另有 30% 的受访者表示,DevOps团队 寻求安全团队的意见以制定 API 指南。另有 25% 的组织将安全工程师嵌入 DevOps 团队以应对挑战。调查还发现,越来越多的安全团队正在关注OWASP API 前 10大威胁列表——本报告中的这一比例为 61%,而六个月前为 50%,这是改进整个组织的 API 安全实践的积极变化。
京公网安备 11010802033237号
