一、API安全介绍与关键研究成果
1、介绍
对于现代企业来说,API不再只是一个技术基础架构。API迅速成为新的应用层,将组织和用户连接起来,以全新方式提供价值,成为业务本身一个不可或缺的组成部分。虽然更多API会带来更大价值,但也导致了更大攻击面和新型漏洞。
作为一家专注于API发现、测试和保护的领先安全公司,Imvision就当今的组织如何处理API安全采访了大型企业的100多名高级安全领导者:
安全方法方面,哪些已采用?哪些已失去安全领导者的信任?对于API,目前谁拥有最终决定权?谁在观望,希望加强控制?
通过分析,我们生动地描述了当今安全局势,指出API会带来许多新挑战和漏洞,而组织尚不知如何应对。在很多情况下,甚至连API的功能也难以界定。
最重要的是,本报告表明跨团队协作是向前迈进的最有效方法:一方面,安全团队在传统企业安全领域积累了丰富经验,另一方面,API团队对API的特性和独特挑战有深入了解。
本报告重点介绍具有前瞻性思维的安全领导者如何保持领先地位,与其他团队合作投入有意义的事业,加速数字化转型。
2、API安全是当今安全领导者的当务之急
- 在未来24个月内,91%的安全领导者将API安全视为优先事项,而80%希望加强API控制。
- 鉴于公司目前利用多个API,这并不为奇:73%的企业使用超过50种API,而且数量还在不断增长。
- 这就带来了管理上的难题,特别是考虑到开放的API中80%供合作伙伴和客户使用。
- 最终,只有1/3的安全领导者认为他们的API得到了合理保护。
3、明确API安全支柱的几大驱动因素
对于API安全,安全领导者有三个当务之急:访问控制(63%)、安全测试(53%)和异常检测与防护(43%)。除了这些主要功能之外,API保护的关键使能因素是与组织的现有系统集成(52%),且首先深入了解所使用的API(50%)。
虽然API安全很容易被视为一套独立的任务、技术和责任,但每个API都是一个独特攻击面,各种安全组件需围绕它有效协同工作。
安全领导者越来越意识到,若要筑牢API安全基础,至少需落实这三个最重要事项,从而构建“API安全支柱”。
4、API管理只是其中一个环节
API管理(APIM)平台是使用最广泛的API安全技术,80%的企业已使用或正在考虑使用该技术。同时,大多数安全领导者现在意识到这还不够——只有18%认为APIM管理的是要保护的最高风险API。
然而,虽然APIM提供访问控制并纳入API网关提供一些运行时保护,但通常利用基本策略实施方案,而且缺乏关键安全能力:APIM不涉及API业务逻辑和功能,因此无法阻止API滥用。此外,APIM不支持安全测试。由于只有19%的组织每天测试其API,因此,安全测试将成为安全领导者考虑的首要因素。
5、留心安全缺口:传统应用安全工具不适用
WAF和SAST/DAST等通用应用安全解决方案是各厂商提出的常用API安全保障工具。
然而,我们的绝大多数受访者一致认为,他们并没有将这些系统纳入技术路线图 – 对于50%或更多安全领导者来说,这些系统甚至不是备选方案。
随着攻击面不断扩大,当今的组织已意识到现有工具存在局限性,但苦于找不到可行的替代方案,这使得他们普遍倾向于采用新技术实现运行时保护和安全测试,为APIM发挥API安全支柱作用提供辅助和支持。
6、谁拥有最终决定权?企业面临责任方面的挑战
我们的报告显示,大多数企业,无论是卓越中心、专业API团队,还是其他实体,都会组建集中整合团队保障API安全性。由于这些团队通常负责运营API管理平台,因此API安全理所当然地落在他们身上。
然而,安全领导者认为他们应该和API团队合作保障API的安全。
可见,合作是最好的前进之路:一方面,传统企业安全领域(如网络和应用程序)的经验可用于API安全计划。另一方面,专业的API团队对API本质带来的独特挑战有深入的了解。
7、谁承担费用谁就有决定权
随着企业在数字化转型过程中不断开放新的API、越来越多地使用API,我们可以看到相应的责任和预算也在发生变化。
一旦公司有超过50个API,研发和IT团队的地位可能会被削弱,因为安全部门还会承担39%的责任,其作用会凸显,而若需管理的API不足50个,这一比例仅为5%。
在API安全预算方面,企业缺乏明确的合理方案,这进一步强化了协作的必要性,因为没有任何一个团队可独立负责该项工作。
对于面向未来的组织来说,无论哪个团队牵头,相互影响和合作对于帮助组织构建理想的API安全支柱来说显然比以往任何时候都更加重要。
二、 企业&API
1、API应用广泛
现在,几乎每个企业都有API。面向安全领导者的调查表明,92%的企业有10个以上API,73%的数量超过50个。规模较小的企业似乎更乐于采用API技术,数字化转型步伐更快速。然而,目前拥有10,000多名员工的大型企业中,54%使用的API超过50个。组织虽然可能有50个API,但实际的端点数量会更多,这就增加了底层功能保护的复杂性。
2、80%的企业通过外部API提供数据访问
企业利用的API多种多样,其中内部API的使用最普遍,即组织的开发人员内部使用的API — 71%的公司采取这种方式。其次,B2B的外部API(组织为其业务合作伙伴开放的私有API)占63%,B2C的外部API(消费者通过移动应用程序使用的私有API)占53%。一般来说,80%的组织允许合作伙伴(B2B)或用户(B2C)通过外部API访问其数据。
3、集成与性能相关API占主流,业务方面也不甘落后
由于公司主要在内部使用API,因此对于大多数企业来说,API策略实施的主要推动力来自于应用程序性能(64%)和开发与集成(58%)的提升,这并不奇怪。但是,用于提升客户体验的业务API所占比重也不小(56%),这表明业务对API的依赖性在不断增强。除了这些API使用的驱动因素之外,重要的是,对于大型企业来说,也可能有许多API源于外部并购活动,而非内部开发。组织正在迈入一个新的数字时代,即利用API以新的方式传递价值,使API成为业务本身不可或缺的一部分。
三、漏洞与挑战
1、API网关的部署取决于其管理的API
有些API比较容易受到攻击。虽然API网关能减少一些漏洞,但最重要的漏洞不存在于这些平台管理的API中——40%的调查对象表明,影子API最容易受到攻击。值得注意的是,第三方使用的API似乎带来了第二大API安全威胁,如利用此类API导致了SolarWinds的入侵。
2、API清单和方案的维护影响API安全性
API保护是一项具有挑战性的任务,大多数安全领导者一致认为,当前的流程和工具无法实现这一任务。当被问及公司目前面临哪些API安全挑战时,64%的受访者表示,他们目前的解决方案根本无法提供所需的API保护。其次,研发部门后续未能充分维护要实施的方案(61%),且制定的API清单不准确或不全面(58%)。最后两项很重要,因为它们关系到安全团队是否能够定义可有效执行的API策略。
3、集成和可见性是API安全提升的障碍
只有13%的公司不存在API安全提升障碍。对于其他87%的公司来说,最突出的两大障碍是与现有系统和工作流程集成(52%),保证组织使用的API(50%)的可见性。这两个挑战的存在不足为奇,因为发现和集成一直是两大安全推动因素。公司若不克服这些障碍,很难有效实施安全解决方案,提升安全态势。此外,25%的安全领导者认为研发合作是最大障碍。
四、 优先事项与最佳实践
API将持续存在,而且安全领导者已意识到API构成了一个新技术层,需要特别关注。关于未来12-24个月内API安全性优先级,90%的受访者表示API安全性是个高度优先问题,87%希望加强API控制。
1、安全领导者希望采取全面的API防护方案
尽管API安全很容易被视为一项独立的工作、技术和责任,但每个API都是一个独特攻击面,各种安全组件需围绕它有效协同工作。对于API安全,安全领导者有三项考虑重点:访问控制(63%)、安全测试(53%)和异常检测与防护(43%)这三项构成了API安全支柱,这一整体方案为数字企业实现成熟稳健的API安全策略打下了坚实的基础。
2、传统应用安全方案未纳入API保护路线图
API管理/网关通过完善访问控制和某些运行时保护措施提升API管理和安全性,是目前最流行的技术。90%的用户在使用、计划或考虑2021年对其进行测试。也许最值得关注的是,绝大部分安全领导者称,他们的API保护路线图不涉及传统的应用安全解决方案(WAF和应用安全测试)。对于50%或更多的安全领导者来说,这些系统甚至未被视为优先事项。随着攻击面的扩大,组织意识到了他们当前的工具存在局限性。
3、持续开展API安全测试仍然是个挑战
几乎所有的公司都在进行API测试。由于API的使用越来越广泛,因此须在一定范围内定期开展测试。只有19%的受访者每天进行API测试,35%的每月测试一次,甚至频率更低。我们对各种规模的公司进行测试频率统计,发现公司规模越大,测试频率越低。与有1000-4999名员工(74%)的公司相比,拥有10,000多名员工的公司的测试频率更低(每周或每天53%)。
五、人员统计
译者声明
小蜜蜂翻译组公益译文项目,旨在分享国外先进网络安全理念、规划、框架、技术标准与实践,将网络安全战略性文档翻译为中文,为网络安全从业人员提供参考,促进国内安全组织在相关方面的思考和交流。