文章來源 / Akamai Official Blog
確保您的團隊持續接受有關 API 安全性教育。
根據 Akamai 2024 年《API 安全影響研究》,API 濫用的比例正以驚人的速度上升。在對超過 1,200 名 IT 和安全專業人士進行的調查中,84% 的受訪者表示過去 12 個月內曾遭遇 API 安全事件,較去年的 78% 明顯增加。同時,這些威脅對組織的影響也愈發明顯,包括不斷上升的修復成本以及員工壓力的加劇。
隨著 API 事件增加,企業在風險可見性上面臨挑戰
API 資安事件的增加並不令人意外。試想一下:就像公司中的員工一樣,API 的任務是快速在數位技術之間交換數據。這項任務非常重要,因為 API 能夠幫助客戶和合作夥伴獲取所需的服務。然而,這項任務也具有高風險,因為與員工不同,API 通常在幾乎沒有監管的情況下處理敏感數據。
許多 API 隱藏於組織中央 IT 部門的視線之外,因為它們在未經授權的情況下被創建,傳統的安全工具往往無法檢測到這些 API。即使是可以追蹤的 API,安全團隊通常也缺乏對其風險的充分了解。
你無法保護你看不到的東西
根據《2024 年 API 安全影響研究》,只有 27% 認為擁有完整 API 清單的受訪者,清楚知道哪些 API 會回傳敏感數據,這一比例較去年的 40% 明顯下降。此外,不同角色之間存在認知差距:43% 的 CIO 認為他們知道哪些 API 會回傳敏感數據,但只有 17% 的 CISO 持相同看法。
看不見的威脅無法被保護。這種缺乏可見性令人擔憂,尤其是考慮到以下事實時:
根據最新的 Akamai《 State of the Internet (SOTI) report 》從 2023 年 1 月到 2024 年 6 月記錄到的 API 攻擊數量高達 1080 億次。
只需一個被攻陷的 API,即可導致重大數據竊取,帶來收入損失和監管罰款。
企業面對 API 威脅,其影響逐漸顯現
我們的研究受訪者——從 CISO 到應用安全(AppSec)人員——估算了 API 事件的整體財務影響,包括修復成本和法律費用。在過去 12 個月內經歷過 API 安全事件的企業,平均損失達到 591,404 美元。
受訪者還分享了他們認為 API 安全事件的主要影響。
這些研究結果告訴我們什麼?任何形式的攻擊都會引起關注,但面對一種陌生的攻擊向量,特別容易讓人感到壓力。許多組織正在加速了解 API 風險的複雜性。此外,當高層管理人員追問「這是如何發生的?」時,API 攻擊後的壓力往往會進一步升高。
隨著對 API 攻擊的認識增加,企業開始探討成因
幸運的是,大多數安全團隊已經投入精力,並逐步掌握 API 攻擊的發生機制。他們也認識到,傳統的 API 安全工具已無法滿足現代需求。受訪者指出了 API 事件的主要成因,這些答案反映出多方面的挑戰:
工具無法有效檢測和保護未管理的 API,導致它們在視野範圍之外的事件未被捕捉。
OWASP API 安全風險前十名中的漏洞,如因趕工導致的程式錯誤以及缺乏身份驗證控制。
保護 API 的四大核心領域
面對當前的 API 威脅,組織需要制定基於以下四大核心領域的策略與解決方案:
API 發現
增加可見性:針對那些未受管理並擁有無檢查數據存取的 API,使用自動化工具進行發現。分析 API 的風險並建立完整的清單。
狀態管理
增強狀態:清楚辨別正常與異常的 API 行為,並了解常見的警示類型,這可幫助組織主動檢測攻擊信號。利用這些洞察降低風險、設定優先級並強化 API 安全策略。
執行時期防護
執行時期的可見性與安全性:將全面的 API 安全解決方案整合至現有安全堆疊中(例如 Web 應用防火牆或 Web 應用與 API 安全工具),以便用戶識別高風險行為並在可疑流量接觸關鍵資源前阻擋它們。
安全測試
提前且持續測試:採用「向左移動」的方式,將安全測試納入 API 開發階段。檢測 API 是否正確編碼以執行預期功能、是否暴露於風險以及是否易受常見與新興攻擊方法的威脅。
總結:感受影響並準備行動
將這份研究中的數據視為重要討論的起點,而非單純的發現或矛盾點。隨著 API 安全事件的增加,CISO 及其團隊所感受到的壓力是明顯的。當企業高層將保護 API 的責任交給安全團隊時,這種壓力會影響每個人。
確保您的團隊持續接受 API 安全教育。通過閱讀這份重要的最新報告,獲取您所需的洞察。
Comments