数字化转型开创了设备、应用和在线服务的新时代。尽管应用程序获得了大部分功劳,但应用程序编程接口或 API 提供了软件和服务之间的底层连接,使这一切成为可能。正如任何开发人员都会确认的那样,API 使组织能够简化工作流程,开发支持客户的新方法,并寻求新的途径来推动利润。然而,尽管有无数的好处,API 也扩大了攻击面。不幸的是,API攻击一直在增加。
值得庆幸的是,信息安全团队和业务领导者都开始明白API带来了新的安全挑战。这些是 API 网关和 Web 应用程序防火墙等传统工具无法解决的独特漏洞。出于这个原因,首席信息安全官今年在专用API安全解决方案上下了大赌注。让我们探讨一下他们这样做的五大原因:
原因 1.数据泄露正在失控
Venmo,Peloton,Twitter,LinkedIn和Optus近年来都发生了与API相关的重大安全事件。事实上,76% 的网络安全专业人员承认在 2022 年经历了与 API 安全相关的事件。究竟是为什么呢?那么,API漏洞以如此惊人的速度被利用的原因有很多。
让我们探讨一些主要因素:
爆炸式增长的 API 流量
据Akamai称,API流量现在占当前互联网流量的80%以上。没错,API 牢固地成为数字化转型的基础。由于企业平均管理超过 15,000 个 API,因此不难理解如此庞大的流量份额。作为进一步的证据,Cloudflare公开证实API调用的增长速度是HTML流量的两倍,这使得API成为“旨在保护客户数据的新安全解决方案的理想候选者”。
API 蔓延
三分之二的IT领导者,架构师和开发人员声称他们担心API蔓延的前景。这是理所当然的。虽然流量是 API 蔓延的一个重要因素,但两者不可互换。蔓延是指 API 在团队和环境之间的分布。如果您的安全团队缺乏对生产中 API 的可见性,我几乎可以保证恶意和影子 API 占部署内容的很大一部分。
过时的安全工具
我遇到的大多数公司都认为他们不需要专用的 API 安全性,因为他们有 WAF 或 API 网关。它们是 API 交付堆栈的重要组成部分吗?确定。但事实是,两者都不是为了提供充分保护 API 所需的安全控制和可观察性而设计的。
甚至Gartner也证实,“传统的网络和Web保护工具无法抵御API面临的所有安全威胁,包括OWASP API安全前10名中描述的许多威胁。如果没有足够的检测和响应,安全团队将很难识别和修复 API 攻击。
既然您了解了造成这种情况的原因,我们不要忘记这些事件的成本越来越高。根据《量化 API 不安全的成本》报告,就在去年,美国企业在 12 年因 API 相关违规行为而蒙受了 23 亿至 2022 亿美元的损失。首席信息安全官更有理由抓住他们迅速扩大的API攻击面。
原因 2.监管机构正在打击数据合规性
数据合规性法规在数字世界中变得越来越重要。随着数据泄露事件稳步增长,监管机构越来越关注执行违规行为,以保护个人和组织的隐私。公司必须小心他们如何存储和处理数据,以确保数据不会被滥用或泄露。
为了保持合规性,您需要全面了解您收集哪些数据、如何收集这些数据、谁有权访问这些数据以及如何使用这些数据。请记住,在美国、欧洲和亚洲可以找到许多不同类型的数据合规性法规。从患者记录到财务数据,对于如何正确保护高度敏感的数据,有明确的指导方针。
您应该注意的一些最值得注意的包括:
通用数据保护条例 (GDPR)
GDPR 由欧盟制定,保护个人访问其私人数据并了解其收集方式的权利。
健康保险流通与责任法案 (HIPAA)
美国政府卫生与公众服务部为电子医疗保健和安全制定的国家标准。
支付卡行业数据安全标准 (PCI DSS)
适用于处理主要信用卡供应商品牌信用的金融和零售组织的信息安全标准。
个人信息保护和电子文件法
加拿大规范数据隐私的主要法律。PIPEDA 为营利性企业如何收集、使用和披露消费者的个人信息提供治理。
加州消费者隐私法案 (CCPA)
CCPA 为加利福尼亚州居民提供了了解企业收集的个人信息、使用和共享个人信息的权利。
请记住,这不是数据隐私法规的详尽列表,它应该让您知道情况的严重性。
原因 3.自动化是成功的关键
根据世界经济论坛 (WEF) 制定的 2022 年全球风险报告,95% 的网络安全问题可以追溯到人为错误。似乎这还不足以成为寻求自动化工具的理由,生产中的 API 数量对于手动工作来说实在是太大了。
例如,手动发现、记录、迁移、重构和修正需要每个 API 花费 40 小时。现在,如果企业平均管理大约 15,000 个 API,那就是 600,000 小时的手动工作。为了让你感觉更好,只有25,000天。如果你只有12岁,现在就开始了,你可能有机会在80岁生日前完成。
除了 API 发现之外,现代异常检测还由人工智能 (AI) 和机器学习 (ML) 提供支持。当与其他安全产品(如安全编排和修复 (SOAR) 平台以及安全信息和事件管理 (SIEM) 系统)结合使用时,它们为全面的事件响应提供了缺失的环节。首席信息安全官还可以根据需要利用 IT 服务管理 (ITSM) 和扩展检测和响应 (XDR) 工具。
原因 4.声誉就是一切
声誉是任何企业成功的关键因素。它在人们如何看待您的品牌方面起着至关重要的作用,它可以帮助您与受众建立信任。请记住,您的声誉不是静态的衡量标准。它可以随着时间的推移而构建,但如果你不小心,它也可能会丢失。为了建立良好的声誉,您需要一个坚韧不拔的安全团队,其中包含集成的解决方案,在不干扰业务成果的情况下保护敏感数据。
在这种经济环境下,考虑到敏感数据的利润丰厚,敏感数据将继续成为网络犯罪分子的有吸引力的目标。但鉴于增长放缓和收入萎缩的现实,不良行为者占上风是不可接受的。首席信息安全官及其团队必须消除盲点,实施严格的访问控制,并减轻恶意威胁和其他网络安全风险。如果不这样做,可能会对首席信息安全官和业务的寿命产生可怕的后果。
原因5.整个 SDLC 都需要安全性
认真的首席信息安全官明白,在整个软件开发生命周期 (SDLC) 中嵌入 API 安全控制是确保 API 从代码到生产都受到保护的唯一方法。
Forrester首席分析师Sandy Carielli证实了这一观点,她说:“API安全性,就像整体应用程序安全性一样,必须在SDLC的每个阶段解决。当组织开发和部署 API 时,他们必须安全地定义和构建 API,实施适当的身份验证和授权控制(API 相关违规的常见问题),并仅分析 API 流量以允许符合 API 定义的调用。
然而,在 2022 年 API 安全趋势报告中接受调查的网络安全专业人员中,事实上,只有 11% 的人表示他们正在实时测试 API,只有 28% 的人表示他们每天至少测试一次 API 的安全漏洞。只有39%的人报告说他们每周测试不超过一次。随着开发人员生成代码的速度,漏洞比以往任何时候都更容易从裂缝中溜走。特别是如果你没有'测试它们。
结论
阅读本文后,您应该很清楚为什么 CISO 如此关注保护 API。您应该能够清楚地阐明各种规模的公司面临的业务和技术风险。我真诚地希望您使用这些信息来帮助您制定强大的 API 安全策略。实施创新技术和自动化工具,帮助您的组织识别和消除恶意威胁。
参考:cisos |
