谷歌：云計算引爆API安全危機

API是企業數字化轉型的關鍵，但谷歌的兩項調查發現，數字化轉型（上云）同時也導致針對API的網絡攻擊和API自身的攻擊面正在達到一個臨界點。

API（Web應用程序編程接口）是將云應用程序和基礎架構結合在一起的粘合劑，但這些端點越來越多地受到攻擊，50%的受訪企業承認在過去12個月中發生了與API相關的安全事件。

根據Google Cloud的一項調查，企業最頭疼的API安全問題是安全配置錯誤（占比40%），其次是過時的API和組件以及垃圾郵件和濫用機器人（三分之一）。

根據對500多名技術領導者的調查，三分之二的受訪企業（67%）在測試階段發現了與API相關的安全問題和漏洞，但大多數企業（超過60%）在軟件開發、應用程序部署以及實時監控過程中發現了API安全問題。

盡管存在諸多問題，但超過四分之三（77%）的受訪企業表示他們擁有所需的API工具和解決方案，有信心發現問題。

Google Cloud業務應用程序平臺產品負責人阿南德認為：

“企業對API安全的信心與調查揭示的事實不符，企業安全格局已經發生了重大變化——隨著API數量的急劇增長，API已經成為應用安全的新戰場。”

過去兩年由于新冠病毒大流行導致業務中斷，加速了企業數字化轉型，企業對Web API的重視與日俱增。在另外一項調查中，受訪的770名技術領導者的絕大多數（93%）都表示其運營“主要依托云”，高于兩年前的83%。

相比之下，同一時期認為業務運營“主要在本地開展”的業務決策者從16%下降了一半至7%。

據估計，自2020年以來，與API相關的安全事件造成了120-230億美元的損失。而且企業的攻擊面正在不斷擴大：如今大企業的平均API數量是一年前的三倍，高達15600個。

API安全是數字化轉型的關鍵

谷歌的調查發現，46%的受訪企業只在企業內使用API，但超過一半（54%）的企業允許合作伙伴、客戶和其他外部開發人員使用其API，作為刺激第三方開發的一種方式。

“API對于應用程序現代化和數字化轉型至關重要，因為它們與微服務一起能夠快速向客戶提供新體驗，同時降低開發和維護成本，”Google Cloud在其“數字關鍵時刻：2022年API和應用程序狀態”報告中表示。

根據Google Cloud的另外一份報告“API安全：最新見解和關鍵趨勢”，由于API對企業數字化轉型至關重要，因此多數企業非常重視API安全投資，其中60%預算用于提高主動識別安全威脅的能力，57%用于增加安全自動化和編排。

大約一半的受訪企業還打算擴大對API服務器的實時監控，并使用人工智能和機器學習（AI/ML）系統來更好地發現缺陷和檢測攻擊。

“隨著企業從被動轉向主動應對API安全威脅，我們將看到AI/ML模型在安全工具中得到更廣泛的采用，”阿南德指出：“基于ML的規則是這種自然演變，不僅僅是自動化，而是不斷從經驗中學習。”

能否成功上云取決于API成熟度

調查顯示，API安全成熟度高的企業在向云原生運營的過渡取得了更大的成功。

大約三分之一的受訪企業（34%）認為自己擁有成熟的API方法，在整個企業中推動API優先戰略并使用API管理平臺。與API成熟度較低的企業相比，這些企業在提高效率、更好的協作和更高的敏捷性方面也取得了更大的成功。

Google Cloud給低成熟度企業的定義是：擁有孤立API，也許還有API安全網關，但沒有集中管理API安全的企業。

研究表明，與低成熟度的企業相比，API安全成熟度高的企業在數字化轉型方面遙遙領先。顯然，技術領導者已經意識到了API帶來的價值。

根據谷歌的報告，對于轉向基于API的應用程序基礎設施的企業來說，API安全被認為是API計劃中最重要的組成部分，66%的受訪企業認為它很重要。其他企業最關心的問題還包括API性能分析和API治理。

“API安全最終需要成為整體端到端安全戰略的一部分，”阿南德說道：“所有安全產品之間的無縫集成才能進一步提升產品組合的整體安全價值。”