网络安全新战场 API安全市场成熟度不断提升

随着数字化时代的到来，应用程序接口（API）的使用越来越广泛，成为连接不同应用程序和系统的桥梁。然而，随之而来的是API安全问题的日益突出。API安全的重要性不容忽视，一个不安全的API可能会导致数据泄露、恶意攻击和系统瘫痪等严重后果。
 
一项研究表明，企业数字化转型推动API数量相比去年已增长了82%，因此API安全也被认为是未来的“网络安全新战场”。企业必须意识到API可以成就业务同时也能够破坏业务，只有确保API的安全，才能真正实现数字化时代的网络安全。



调研机构眼中的API安全
 
“API的安全性仍然很重要”Gartner在最近发布的《2023年API技术成熟度曲线》（Hype Cycle for APIs, 2023）中指出。在今年的技术曲线当中，API安全测试、API访问控制和API威胁保护等各项API安全技术成熟度均有所提升，这反映了企业对API安全需求的持续增长，以及API安全市场的进一步成熟。
 
这份报告也显示API发展应用上的一些典型特征，比如金融行业API数量显著增长且价值较高易受到攻击；随着API使用量的不断增长，企业必须管理多个API，涉及多个云环境和多个团队等等现状。报告重点强调的是，对于API的持续可观察性及全生命周期管理都将影响企业生产力，API技能与安全技术比以往任何时候都更加重要。
 
在Gartner另外一份最新的报告《2023年应用安全技术成熟度曲线》（Hype Cycle for Application Security, 2023）中，也显示了API安全与DevSecOps、ASPM、PaC、CNAPP、SSCS等安全技术具有同等重要地位。对于调研机构而言，API的安全问题是现代应用程序的一个特殊体系，需额外加强关注。
 
Gartner此前曾预测，到2022年，API滥用将成为导致企业Web应用程序数据泄露的最常见攻击媒介，甚至在2024年API安全问题引起的数据泄露风险将翻倍。这说明了API安全问题严峻性在不断加剧，面对因API频繁引起的安全事件，安全机构将其主要归咎于企业目前还没有增强意识去针对性防护。
 
IDC在《中国API安全市场洞察,2022》报告中给出另一个观点，API安全防护市场在中国还处于初步发展阶段，各个厂商结合自己的技术积累和行业优势推出了各具特色的产品和解决方案，但产品和技术能力还需要进一步加强。
 
埃森哲则认为，API安全市场是一个充满创新和发展的市场。随着技术的发展和安全威胁的演变，API安全市场将不断涌现新的产品、解决方案和服务，以应对不断变化的API安全挑战。Forrester认为，API因不可或缺性导致将安全重点从应用程序转到API本身，由于API驱动了如此多的网络事件，企业应将API安全视为主动防御的一部分，但其市场仍需培育。
 
API安全市场成熟度不断提升
 
在《2023年API技术成熟度曲线》《2023年应用安全技术成熟度曲线》两份报告当中，API安全厂商威胁猎人（Threat Hunter）以唯一中国安全厂商身份双料入选对应的“API威胁防护”技术推荐供应商。威胁猎人告诉安全419，中国API安全市场的未来潜力已经进入国际视野，这也代表着国内的API安全市场成熟度达到了世界同步水平。
 
观察发现，趋势洞察与技术创新之间，国内市场相较国际市场一直存在一定的距离，主要原因是国内的安全市场由事件驱动、政策驱动、合规驱动，直到近年来网络安全法律法规和标准逐渐完善推动国策网安意识增强，以及新兴技术的不断演变，传统被动防御才逐渐向主动防御阶段过渡，进而推动最新安全技术普及应用。
 
API安全就是这样一块市场，增速与安全不平衡之间的关系最终还要归咎于企业对于API安全没有准确的认知。这方面，传统的合规清单当中已有众多安全产品，但是API安全市场针对的是特定的安全关键点，其解决方案落地时注重的是与业务相结合，所以其市场应用完全取决于行业标准的广泛建立和企业客户重视程度上的提升。
 
从供需双方来看，当前国内API安全市场成熟度表现在于两点，其一是，安全厂商的API安全技术本身的成熟度正在不断提高，比如不同API安全方案的可视化、自动化、高精准度等能力上的普遍提升；其二是，当API承载了互联网80%以上流量，企业逐渐从数据安全合规角度认识到了API安全建设的核心收益。
 
从安全产业角度去观察API安全技术成熟度不断提高，在于随着API安全市场需求上的不断增加，越来越多的企业进入到该领域，且技术也在不断更新。现有格局来看，API安全市场主要由网络安全厂商、数据安全厂商、云计算服务商、云安全厂商、专业的API安全厂商等所瓜分。API已成为数字时代的新型基础设施，其市场具有独立性，同时也是不同安全架构的重要组成部分。
 
对于API本身需要全生命周期管理而言，API同样需要在安全方面实施全生命周期管理，这已是API安全市场对于API安全的统一理解。以行业标准为例，API安全产品和解决方案应建立API 资产管理、API 风险评估、API 权限控制、‍‍API 安全监测、API 安全响应以及审计与溯源多维技术能力，从而让用户不再困扰于API安全。
 
大量 API 被广泛应用在数字生活的每个领域，遍布各行各业，企业需要认识到的是API安全解决的就是API安全合规问题，进一步就是解决的数据安全合规问题。因此，API的安全问题必须受到企业重视。从调研机构认定的中国API安全厂商技术成熟度的提升，背后也透露着中国API安全市场的未来潜力已经进入国际视野。