[調研]:網絡攻擊盯上API
針對1629名網絡安全專業人員的調查發現,近四分之三(74%)的受訪者所屬企業在過去兩年間遭遇了不少於三起的應用編程接口(API)相關數據泄露事件。
API安全平臺提供商Traceable AI委託波耐蒙研究所進行的調查研究發現,61%的受訪者預計未來兩年內API相關威脅會增加。超過半數(58%)的受訪者認爲API大幅擴大了需防護的攻擊面。
調查發現,企業平均擁有127個第三方API連接,但僅三分之一(33%)的企業對自身管理外部威脅的能力充滿信心。近半數(48%)受訪者難以適應API的擴張。超過三分之一(39%)的企業在跟蹤自身API清單方面存在困難。
Traceable AI首席安全官Richard Bird稱,儘管API相關數據泄露的數量不斷增長,足夠重視這一威脅的企業仍舊不多。僅52%的受訪者感受到了在安全風險概況的基礎上了解最易受攻擊API的緊迫性。54%的受訪者則將識別處理敏感數據的API端點視爲重中之重。
Bird補充道,太多企業誤以爲Web應用防火牆(WAF)之類現有工具就足以保護其API。但事實上,57%的受訪者指出,WAF等傳統安全解決方案無法將真實API活動與欺騙性API活動區分開來。僅38%能夠辨別API活動、用戶行爲和數據流間的複雜上下文。
至於現有應用安全方法解決API安全問題的效果,以及是否需要專門的平臺處理該特定任務,網絡安全界還存在爭論。很多情況下,API都是由於實際應用開發無關的開發團隊創建的。Traceable AI及其他API安全平臺提供商認爲,API安全已成爲獨立的學科,企業需要相關工具來發現流氓API和殭屍API,識別網絡犯罪分子操縱業務邏輯滲漏數據的異常行爲。
調查發現,平均而言,只有40%的API持續接受測試以發現漏洞。因此,企業只有信心預防26%的攻擊,僅能有效檢測和控制21%的API攻擊。總體上看,最常見的攻擊途徑涉及分佈式拒絕服務(DDoS)攻擊(38%)。
當然,如果開發人員在創建之初就保護好API安全,那網絡安全團隊的壓力就會小一些。然而現實很骨感,開發人員的網絡安全專業知識水平往往參差不齊,所以總有API是不夠安全的。隨着應用程序紛紛自帶面向外部的API,網絡安全團隊需要預防數據泄露的概率也越來越高了。
每家企業都需要確定自己的API風險承受度,因爲網絡犯罪分子越來越善於利用API安全缺陷了。
Traceable AI《2023年API安全狀況》https://www.traceable.ai/2023-state-of-api-security