API和Web安全越來越難

我們如今生活在一個與以往完全不一樣的技術世界。變化的速度實在太快，企業往往發現自己又落后了，面對的安全壓力遠不是幾年前可比的。這事兒不能怪任何人，但我們所用的傳統工具確實經常是制造的問題比解決的多。

現代去中心化企業的出現，要求采取先進、整合的方法來確保Web應用和API安全。但正如企業戰略集團（ESG）新近推出的客戶調查報告所昭示的，安全方法的轉變并不容易。事實上，通過對北美、歐洲和亞太地區及日本的500家企業進行問卷調查，ESG發現，企業現代化快速鋪開，安全卻落下了。

四分之三的受訪企業采用至少五款Web應用和API工具，而且很多企業使用的此類工具遠不止這個數。平均而言，受訪企業在Web應用和API安全方面每年要在11款不同工具上花費260萬美元。然而，很遺憾，這不過是浪費金錢而已。

工具膨脹

企業使用那么多工具是寄希望于多款工具可以買來加強版安全防護。可惜，結果往往事與愿違。企業不僅難以在應用和安全所有者之間充分協調各項任務，還面臨缺乏API保護、可見性差和難以跨多個工具關聯數據的問題。

ESG調查研究報告中的重要數據：

? 受訪企業報告稱，自家Web應用和API安全工具平均每天發出53個警報。

? 近半數警報都是誤報，90%的受訪企業認為這是個問題。

? 75%的受訪企業在誤報上花費的時間等于或多于處理實際攻擊的時間。

? 82%的受訪企業在上一年被Web應用和API攻擊成功侵害。

? 64%的受訪企業希望絕大多數或全部應用都使用API，但也越來越擔心瞄準這些端點的漏洞、惡意軟件和數據滲漏。

這并不意味著放棄進步，而是提醒我們需要修正進步路線。

漫漫曲折路

Web應用和API安全問題不是一天造成的。企業添加了一系列安全工具，本是為了更好地保護自己的Web應用程序和API。但在很多情況下，這種老舊工具現在通常被視為技術債務。

現代安全工具必須有效整合進現代技術棧里，并與DevOps工具鏈中其他工具配合，才能實現公司里任何人都能利用所產生的數據，體現出安全產品真正的價值。

以往，安全團隊利用影響力單方面減緩或停止他們認為并非萬無一失的項目。如今在更為復雜的組織環境中運作，他們就只是要求在產品推出前確保全面審查過各項安全考慮了。

現代企業中，不同團隊紛紛將自己的基礎設施旋上云、Kubernetes、無服務器或邊緣環境。這一新情況要求你必須能夠將安全技術嵌入整合了一系列計算方法的架構。如今，安全棧必須插入公司Slack、Teams和SIEM應用，這樣技術部門才能夠自行獲得工具價值而無需全面了解工具詳情。

重新思考工具策略

企業正走在數字化轉型路上，很快就不得不應對這一問題。隨著新技術的引入，轉變速度呈指數級增長態勢。而且速度不會放緩。

安全需要存在于應用和API所在的任何地方，且企業不能依賴無法適應中心化架構的老舊工具。現代世界，你應該保護好API和應用，無論它們是在云端還是在邊緣。

從業者需要整合進開發工具鏈的技術。架構不僅要能夠兼容所有老舊應用，還要能夠容納公司里其他更為先進的API和應用。別以為能夠依靠僅符合當代開發計劃的架構湊合。想要順利數字化轉型，就必須采用能夠適應公司發展的架構。

最重要的是，成功實施數字化轉型的企業發現，安全應引領轉型而非試圖拖慢轉型。