API安全已成絕大多數企業的嚴重問題

最近發布的一份研究報告具體闡述了為什么應用編程接口（API）安全成為了絕大多數企業的嚴重問題。

最近，Cloudentity就API安全相關問題針對300名IT決策者進行了調查研究。研究結果表明，因自身API環境安全問題而導致新應用和服務增強延遲發布的問題，幾乎所有企業（97%）都經歷過。近半數受訪企業（44%）表示，曾經經歷過涉數據泄露和隱私信息暴露的重大API安全問題。

Cloudentity聯合創始人兼首席安全官Nathanael Coffing稱，“報告中最令人驚訝的發現，是這個問題的普遍性，以及企業對此束手無策的現狀”。

他表示，與API安全相關的經濟損失、快速應用交付時間線和缺乏安全意識等因素，都在影響企業在自身環境中保護API使用安全的能力。

Coffing指出：“僅2%的受訪者對自家企業減少API數據安全問題的能力非常自信，認為自家企業完全有能力解決非授權訪問、數據隱私和合規風險等問題。” 

因此，93%的受訪者稱計劃增加API安全預算和資源，其中64%表示將增加15%之多。研究發現，增加的API安全開支將主要用于實現零信任控制措施、啟用策略即代碼，以及更好地管理隱私同意。

近年來，應用現代化工作和數字轉型計劃導致API使用暴增。API可使應用和服務在內部和外部網絡上相互通信。對開發人員而言，API可以減少很多集成工作，避免花費更多精力處理不同應用間的通信。在無網不生活的現代世界，幾乎所有企業都采用API作為連接內部應用和數據與用戶和合作伙伴的橋梁。但由于很多企業沒有足夠重視安全，敏感數據和應用邏輯就通過API暴露在了攻擊者眼前。不出所料，API近年來成為了攻擊者越來越矚目的高價值的目標。

今年早些時候，Salt Security進行的調查顯示，過去12個月里，其客戶群的API使用增長了兩倍，從2020年7月的每個企業平均28個API，增長到2021年6月的每企業89個API。六個月間，這家安全供應商見證了每客戶平均API調用量從去年12月的1.95億次，飆升至2021年6月的4.7億次。同一時段內，惡意使用API的嘗試次數從平均每月273萬次，增加到了1222萬次。

與Cloudentity的研究結果類似，Salt Security的調查同樣反映出，過去12個月里，幾乎每家企業都經歷過API安全事件。其中11%每個月經歷的API攻擊數量超過500次。

Cloudentity的研究揭示，44%的企業經歷了重大API授權問題，這些問題涉及侵犯隱私、數據泄露或者面向內部和/或外部的API導致的其他暴露。Coffing表示，如今的應用由內部開發的API、合作伙伴API和第三方SaaS平臺API組成，而且通常情況下，這些API提供有限的身份驗證、授權和數據保護功能。

“最普遍的例子之一是受損的對象級授權。”

這類漏洞的表現是，應用無法正確驗證發出請求的用戶是否具有做出此請求所需的權限。由于該問題在API中十分普遍，開放Web應用安全項目（OWASP）已將其列入頂級API漏洞行列。 

Coffing稱：“在過去一個月中，受損的對象級授權漏洞暴露了數千萬條用戶記錄及其相關的個人身份信息。” 他指出，該漏洞導致企業會違反現有的隱私法，例如《通用數據保護條例》（GDPR）和《加州消費者隱私法案》（CCPA）。

一個復雜的問題

API相關風險的主要成因之一是組件驅動的應用開發復雜性。Cloudentity發現，由于存在數據沿襲漏洞，很多企業都在診斷或監測API安全問題方面遇到了困難。另一個常見問題是缺乏API安全管理策略一致性。比如說，在Cloudentity的調查中，85%的受訪企業其API策略管理是分散的。

Coffing稱：“由于API的普遍性和分布式應用的出現，以及為這些API啟用的多個應用平臺（例如多云、多API網關和多Kubernetes集群），API安全問題變得更加難以解決。”

他說，API級零信任應該是任何API安全計劃的最終目標。

“零信任意味著對服務進行身份驗證、對請求者進行身份驗證、對客戶端進行身份驗證，然后授權和審核網上流過的每個數據元素。”