架構(gòu)

近日，創(chuàng)新安全服務(wù)商Salt Labs發(fā)布了2023年第一季度《API安全態(tài)勢研究報告》（以下簡稱《報告》）?！秷蟾妗窋?shù)據(jù)顯示，94%的受訪企業(yè)在過去一年經(jīng)歷過生產(chǎn)系統(tǒng)中的API安全問題，17%的受訪者表示他們所在的企業(yè)組織由于API安全漏洞而發(fā)生了數(shù)據(jù)泄露?！秷蟾妗愤€發(fā)現(xiàn)，在過去的6個月時間里，API攻擊活動數(shù)量快速增長了400%，其中有78%的攻擊發(fā)生在經(jīng)過初步安全性驗證的API上。研究人員表示，API威脅態(tài)勢仍在持續(xù)加劇，其安全性將在2023年成為企業(yè)組織安全運營團隊關(guān)注的重點。 

API安全是業(yè)務(wù)問題

《報告》研究發(fā)現(xiàn)，API安全性已經(jīng)成為企業(yè)組織的一個關(guān)鍵性業(yè)務(wù)發(fā)展問題，而非僅僅是信息安全的問題，這一點可以從業(yè)務(wù)系統(tǒng)發(fā)布延遲、API安全意識增強以及企業(yè)對API安全應(yīng)用的滿意度低等多個方面體現(xiàn)出來：

• 超過一半的受訪者（59%）表示，由于擔心API安全問題，他們不得不延后新業(yè)務(wù)系統(tǒng)的發(fā)布排期。如此高的百分比說明，現(xiàn)有的測試工具和安全代碼開發(fā)能力還無法解決當前API應(yīng)用的安全挑戰(zhàn)。開發(fā)人員并不能有效識別API中每一個可能的業(yè)務(wù)邏輯缺口；
• 只有23%的受訪者認為他們現(xiàn)有的安全手段在防止API攻擊方面非常有效；
• 48%的受訪企業(yè)表示，在過去的一年里，API安全性已經(jīng)成為公司管理成關(guān)注的問題。在受到嚴格監(jiān)管的行業(yè)，這一比例甚至更高，如科技研發(fā)（59%）、金融服務(wù)（56%）和能源/公用事業(yè)（55%）。而就公司規(guī)模而言，員工人數(shù)在5001- 10000人之間的公司，高管參與API安全討論的比例最多（71%）。

數(shù)據(jù)顯示，目前最受企業(yè)重視的兩個API安全防護需求是如何阻止攻擊和識別PII暴露，而實現(xiàn)左移API安全實踐的能力則關(guān)注度較低。

最重要的API安全能力

當被問及最擔心的API安全風險時： 

• 54%的受訪者表示“僵尸”API是一個非常令人擔憂的問題，這一比例高于上一季度的42%；
• 43%的人表示賬戶接管（ATO）是需要關(guān)注的問題；
• 只有20%的人認為“影子”API是最令人擔憂的問題?？紤]到API文檔方面的挑戰(zhàn)，這方面的實際風險可能比企業(yè)意識到的更嚴重。

企業(yè)最擔心的API安全風險

攻擊者更加激進

《報告》數(shù)據(jù)顯示，當前不僅API攻擊數(shù)量正在快速上升，惡意行為者同時還在繼續(xù)尋找新的、意想不到的方式來實施攻擊：

• 對API進行簡單的身份驗證并不足以阻止攻擊者。報告數(shù)據(jù)顯示，78%的API端點攻擊來自看似合法的用戶，但實際上是惡意繞過了身份合法性驗證的攻擊者；
• 面向內(nèi)部的應(yīng)用程序API通常完全不受保護，因為安全團隊并不關(guān)心其是否需要強大的安全性。然而，《報告》數(shù)據(jù)顯示，有8%的API攻擊是專門針對企業(yè)內(nèi)部的API； 
• 2022年12月，共有4842名攻擊者實施了API攻擊活動，這一數(shù)據(jù)比半年前增長了400%。

API攻擊活動增長態(tài)勢

API安全策略仍不完善

隨著企業(yè)數(shù)字化發(fā)展，其對API應(yīng)用的依賴也達到空前的高度。因此，構(gòu)建和實現(xiàn)強大的API安全策略變得更加迫切。然而，調(diào)查發(fā)現(xiàn)，絕大多數(shù)組織仍然缺乏成熟的API安全程序： 

• 只有12%的受訪企業(yè)認為他們的API安全防護策略是先進/高級的，包括專用的API測試和運行時保護，這一比例高于2022年第三季度的10%；
• 受訪企業(yè)目前還依賴于傳統(tǒng)的API安全方法，如WAF、API網(wǎng)關(guān)和日志文件分析，但只有23%的受訪者認為這些方法是有效的；
• 盡管所有受訪者都有生產(chǎn)API，但30%的受訪者當前并沒有明確的API安全策略。其中25%的人表示他們還處于計劃階段，而5%的人表示完全沒有API安全策略。

企業(yè)API安全策略與計劃調(diào)查

API安全防護建議

報告研究人員認為，API會越來越難以保護，因為當前的工具和安全流程無法跟上API安全發(fā)展趨勢的步伐。組織必須從傳統(tǒng)的安全實踐和上一代工具轉(zhuǎn)向創(chuàng)新的安全方法，在API生命周期的每個階段解決可能的安全問題，并提供更全面的保護。

01定義一個強大的API安全策略

組織需要定義和執(zhí)行一個API安全策略，該策略需要涵蓋完整的API生命周期，并協(xié)調(diào)跨職能和部門的防護責任。全面的API防護策略必須包括API設(shè)計分析和偏離分析、自動和持續(xù)的發(fā)現(xiàn)、增強的運行時保護、使用運行時安全防護工具、API安全事件調(diào)查與培訓，以及跨職能團隊分擔責任的明確流程。

02評估API安全風險水平

企業(yè)應(yīng)該根據(jù)API安全最佳實踐驗證當前API設(shè)計，例如，檢查在給定業(yè)務(wù)功能的API調(diào)用序列中，驗證安全控制措施是否到位。安全團隊還要根據(jù)OWASP API安全TOP 10列表發(fā)起模擬攻擊，以了解WAF和API網(wǎng)關(guān)所存在的防護缺口。在有條件的情況下，可以模擬2022年知名API安全事件的場景，看看組織的API中是否存在類似的業(yè)務(wù)邏輯缺陷。

03在所有應(yīng)用環(huán)境中啟用API安全措施 

隨著API成為當今所有應(yīng)用程序開發(fā)的基礎(chǔ)，組織不能放任其在某些環(huán)境中缺乏保護。組織必須能夠在本地、云以及容器和Kubernetes部署上，應(yīng)用API發(fā)現(xiàn)和運行時保護。此外，如何將API安全工具連接到組織的環(huán)境中也很關(guān)鍵，需要避免API安全平臺因?qū)?yīng)用程序運行狀態(tài)的影響。

04關(guān)注API運行時的安全性

沒人能編寫完全安全的代碼，因此在API運行時防護可以持續(xù)地降低風險。由于每個API都是唯一的，惡意行為者必須執(zhí)行廣泛的偵察，才能確定他們可以利用的業(yè)務(wù)邏輯漏洞或缺口。要查看這些邪惡但安靜的活動，API安全平臺必須能夠在很長一段時間內(nèi)捕獲數(shù)百萬個數(shù)據(jù)點，因為API攻擊可能需要數(shù)周甚至數(shù)月才能展開。這種強大的分析能力需要通過成熟的大數(shù)據(jù)技術(shù)和AI算法實現(xiàn)。

05不要過度相信“安全左移” 

將安全能力左移到開發(fā)環(huán)節(jié)有其優(yōu)點，但企業(yè)應(yīng)該認識到，大多數(shù)API安全漏洞并不能在開發(fā)測試環(huán)節(jié)被檢測到，它們只能在運行時被檢測和發(fā)現(xiàn)。因此，企業(yè)需要尋找具有強大運行時保護能力的API安全平臺，以補充開發(fā)管道測試和OAS分析能力。通常，安全左移策略的實施需要很長的時間來交付價值，而且，它們并不能全部識別所有的API安全漏洞。而運行時的安全性保護可以讓企業(yè)隨著時間推移而強化API。