API 安全风险1:影子 API 滥用 (OWASP API9)
《报告》发现影子API滥用在2022年激增,在167亿恶意交易中,约有31%(即50亿)针对影子API,其为2022年上半年的最大威胁。
API 安全风险2:API 滥用正确编码端点 (OWASP API10+)
《报告》显示,该威胁排名第二,有36亿个恶意请求,包括针对运动鞋或奢侈品的恶意购物 API 请求(30 亿);恶意礼品卡检查(2.9亿);创建虚假帐户(2.37亿);键业务客户交互平台上的垃圾评论请求(3700 万)。
API 安全风险3:凭证填充、影子API 和敏感数据泄露的“三位一体”
《报告》表示,这种API安全风险(1亿)也构成了重大威胁,其利用了多个 API 安全漏洞,例如用户身份验证中断(API2)、数据过度泄露(API3) 和资产管理不当(API9)。研究人员表示,这种组合证明攻击者正在对每个API的工作原理等进行详细分析。
API安全是重中之重
《报告》指出,API已成为业务的基石,企业应使API保护成为优先事项,并建议进行持续API风险评估以防止数据泄露、中断身份验证和编码错误。
安全419建议,对于开发人员,应对API的安全性进行良好的构建和设计,遵守API安全开发规范进行实施。对于管理人员,应使用API管理平台对API服务所面临的风险进行检测和防护。
永安在线长期致力于API安全的研究,其在《2022年Q2 API安全研究报告》给出了相关建议,企业除了已有的防御体系外,也需要针对性地构建API安全防护体系,其中风险情报是重要的组成部分,基于情报及早感知及时防御,从而保障企业及其用户的数据安全。
针对API面临的安全威胁,瑞数信息打造了API安全管控平台,其包括API资产管理、攻击防护、敏感数据管控和访问行为管控四大模块,为API接口提供完整的安全管控方案。
如今API安全已成为提供API服务的企业之间以及企业内部都需要关注的一个安全问题,一旦没有很好的保护好提供服务的API,不仅会对用户的使用体验以及个人隐私带来威胁和风险,而且可能会使企业面临安全威胁和风险,API安全已成为重中之重。