但数据泄露、非法访问、恶意注入以及其他API相关的风险也随之显现,威胁不断。安全419了解到,近日Imperva在最新发布的《API 和机器人攻击的经济影响》报告中指出,由于存在漏洞或不安全的 API以及机器人程序的自动滥用,企业每年损失940亿至1860亿美元。这些安全威胁占全球网络事件和损失的11.8%,对全球企业构成的风险日益凸显。
对API 的依赖扩大了攻击面
从移动应用程序到电子商务平台和开放式银行业务,API 已成为现代业务运营不可或缺的一部分,可实现跨应用程序和服务的无缝通信和数据交换,推动着数字化的转型和创新。但其广泛采用也带来了重大的安全挑战。根据 Imperva Threat Research的数据,2023年,企业平均在生产环境中管理着613个API端点,随着更多公司对API的依赖,这一数字预计还将增长。
API往往是通往组织底层基础设施和获取敏感数据的直接途径。因此,对API的高度依赖明显扩大了攻击面,与API相关的安全事件在2023年又增加了9%。报告估计,API的不安全性造成每年高达870 亿美元的损失,比2021年增加了120亿美元。这可能归于多种原因,包括API的快速采用、许多API开发人员缺乏经验、缺乏标准化的安全实践以及开发和安全团队之间的有限协作。
机器人程序攻击带来持续威胁
随着对API攻击的增加,机器人程序攻击每年造成的损失高达1160亿美元。这是一种为执行特定任务而设计的自动化软件程序,经常被用于恶意活动,如凭证填充、网页抓取、在线欺诈和DDoS攻击。
2022年,此类安全事件增长了88%,2023年又增长了28%。数字交易的增加、API的激增和地缘政治紧张局势等因素都是这一数字猛增的推手。攻击工具和生成性AI模型的广泛可用性也显著提高了机器人规避技术,使技能较低的攻击者也能够实施复杂的机器人攻击。
Imperva的研究显示,机器人攻击已成为API安全面临的最大威胁之一。去年,在所有API攻击中,30%是由自动化威胁引起的,其中17%直接与利用商业逻辑漏洞的机器人攻击有关。这些直接接触敏感数据的API成为攻击者的主要目标,利用API绕过安全措施并窃取敏感数据,这使得检测和减轻攻击的难度更大。仅自动化API滥用一项,每年就给企业带来高达179亿美元的损失。
大型企业面临的风险更高
根据报告显示,与小型或中型企业相比,大型企业遭受机器人自动化API滥用的可能性要高出2到3倍,这主要是由于其数字基础设施的复杂性和规模所驱动的。
这些企业通常管理着成百上千的API,跨越多个部门和服务,形成了庞大且难以监控和保护的API生态系统。在这样的环境中,影子API、未经认证的API和已弃用的API都带来了显著的安全隐患。这些管理不善的API常常缺乏关键的安全措施,如定期更新、认证和持续监控,因此容易被利用。
从登录页面到结账系统,数字环境越复杂,机器人可利用的潜在入口就越多。由于大量敏感数据通过应用程序和API流动,这些企业都是有利可图的目标。
对于年收入超过1000亿美元的企业来说,风险更加明显,其中API不安全和机器人攻击占所有安全事件的高达26%。这个严峻的数字凸显了大型企业对全面 API 安全和僵尸管理战略的迫切需要,一次安全事件就可能导致严重的运营中断、巨额财务损失和长期声誉损害。
防范有考验 API解决方案见招拆招
在新型业务环境下,企业对API安全保护的重视程度也与日俱增,但API数量的激增使得管理变得复杂,缺乏有效的风险识别方法,同时在如何实施保护措施方面也感到无从下手。传统的API网关或WAF的防护已无法满足其安全需求,亟需更多专注于API的安全解决方案。
安全419 了解到,Traceable AI发布的《2024年金融服务API安全状况报告》可以为广大企业在管理API安全风险方面带来参考:
·全面发现和管理API:通过自动化工具持续发现并记录每个API,包括内部、外部和第三方API,消除安全盲点。
·量化并监控API风险:分类敏感数据类型,监控数据在服务之间的流动,创建数据保护政策以阻止数据访问和防止数据泄露。
·自动化和扩展API漏洞测试:利用实时流量和回放流量构建更智能的API测试,快速扩展测试计划。
·检测和阻止API攻击、欺诈和滥用:使用行为分析和机器学习模型建立API行为档案,有效识别异常行为并阻止威胁。
对于大型企业来说,广泛的客户基础和复杂的内部业务流程,在确保API安全的同时还要应对大规模流量带来的性能限制和数据保护的双重考验,尤其对多机房、多云厂商、多技术架构的大型企业增加了运维实施难度。
安全419了解到,威胁猎人推出了超大流量场景API安全解决方案,采用统一管理中心与多分析节点架构,可实现多机房数据本地分析仅汇聚结果数据至中心统一管控,适配不同的网络环境和流量规模。采用 ClickHouse 高性能OLAP数据分析平台,实现了日均参与计算请求量达百亿,多设备多机房流量吞吐超 50Gbps。在超大流量场景下的数据查询与分析效率优化提升显著,帮助合作客户提升 API 资产覆盖率,全面了解 API 涉敏、缺陷与风险情况,构建一个高效、可扩展且安全可靠的API管理体系。
统一管理中心与多分析节点架构安天API雷达以持续化安全防护为核心理念,为用户建立全面的API安全防御管控机制,通过API资产梳理、敏感数据识别、异常行为监测、威胁攻击溯源、精细策略防护等安全能力。产品是虚拟实例产品形态,可以在线下载、实例部署、即插即用。在简化用户部署的同时,为用户提供持续的监测和防护能力,覆盖用户API整个生命周期,确保API资产的安全性和可靠性。
为解决API安全管理问题,为应用系统的业务数据合规正常使用和流转提供数据安全保障,亚信安全推出信数应用安全审计系统(AISAPI),用以帮助用户梳理庞杂的应用及接口,绘制接口画像和接口访问轨迹,监测敏感数据流动风险,识别接口调用的异常用户行为。该系统能快速理清API资产情况,降低从合法请求中发现 API 数据安全风险的难度,弥补传统安全手段在 API 安全上的不足,还能全量记录调用日志,利用技术识别敏感数据,在溯源分析时进行关联和展示,以追溯快速迭代的数据安全风险。
有效防范API接口面临的攻击和风险,首先需要重视API资产管理。API数量的激增和复杂度提高,对API资产的管理难度也随之增大。安恒信息API风险监测系统不侵入业务,通过旁路部署即可轻松实现API 资产动态梳理和 API 风险监测,在 API 资产管理、API 安全监测、API 安全防护、API 审计四大安全模块的成熟度评测中均达到“先进级”要求。
在数字化转型的浪潮中,API已成为企业架构的核心,但随之而来的安全挑战也不容忽视。为了有效识别和防范API安全风险,企业必须采取全面策略,从彻底的API发现和管理,到实施自动化安全测试和零信任安全框架,再到持续的状态监控和威胁防御。这些措施的实施,不仅能够增强API的安全性,还能在不断演变的网络威胁中为企业的数据和系统提供坚实的保护。
京公网安备 11010802033237号
