API加速了企业的数字化转型,其控制软件的交互方式,并在 Web、物联网(IoT)、移动和 SaaS 应用程序中联通软件,另外,API链接内部系统,与其他业务联系密切,并能够促进与合作厂商的共同创新。API作为连接数据与应用的重要通道,成为了数据安全建设中不容忽视的环节。
影子API 风险日益增加
企业会使用数百甚至数千个API,但其中许多API是IT团队所不知道也不了解的。此外,开发人员也可能忘记停用旧版或撤下已被替换的“僵尸”接口。这些影子API 会显著增加企业的风险,2019年,OWASP发布了API 安全中前十名的漏洞,包括对象级授权中断、用户身份验证中断和数据暴露过多等,随着影子 API的扩展,这些威胁向量将呈指数级增长。
Gartner预测到2022年, API攻击将成为最常见的攻击媒介,这会导致企业Web应用程序的数据泄露。
需要影子API安全解决方案
企业通过使用软件即服务(SaaS)平台创建在线目录以高效地发现和管理 API。在线工具支持实时发现并提供元数据,并显示API 在上下文中的工作方式。具有联机目录的团队可以看到所有 API 的业务逻辑,以及流入流出API 的敏感数据。这些重要信息使 IT 和安全团队能够实施有效的安全控制和检测签名。如果他们检测到 API 行为发生变化,这表明存在误用或攻击,IT 和安全专家可以迅速采取行动进行补救或停用。
创建API 安全文化
由于企业的数字化业务在不停增长,开发人员不断创建和应用新的代码。相关报告显示,尽管大多数开发人员认为他们的应用程序是安全可靠的,但仍然存在许多易受攻击的代码.,其主要原因包括:
01开发人员面临着“截止日期”的交付压力。
02漏洞风险低。
03在软件开发生命周期中发现漏洞太晚。
专家表示,使用在线目录有助于创建DevSecOps文化。在该文化中,安全性是预先考虑的,开发人员可以使用联机目录跨外部 API、内部 API 和微服务自动对单个应用程序的请求进行分布式跟踪。
IT 和安全团队可以通过协作来加强应用程序和 API 的安全性,并借助自动化流程以及整体和细粒度视图,可以进行更深入的分析、做出合理的安全决策以及主动修复漏洞。
增强智能化以提供更好的 API 保护
数字化的快速发展意味着随着时间的推移,企业将使用更多的API。应用程序和服务将变得更加互联。专家表示采用零信任安全模型和发展DevSecOps是理想的选择。
另外,使用在线目录公开 API 生态系统可提供有价值的信息,相关团队能够发现和管理所有 API,从而控制影子API,团队也可以分析每个 API 的业务风险和潜在数据泄露,并确定修正工作的优先级。这样,IT和安全团队就可以追溯最终用户的使用情况,确定API是否受到对手的攻击以及其所在的位置。