【 讯】根据Akamai观察,从互联网的流量上看,API流量占到互联网主要流量形式,超过八成的流量是以API的流量形式承载的。过去一年,API攻击增长超过287%,这意味着互联网的安全形势越来越严峻。
Akamai总结了API滥用对企业的严峻挑战,即使企业在API漏洞方面做得很好,仍然容易受到API滥用的影响。这是因为API 安全的早期工作关注的是防止利用 API 编码或配置方式中的任何漏洞进行攻击。然而, API 滥用的攻击者却没有利用任何类型的技术漏洞,所以API滥用通常难以被发现,并且每个公开API都有潜在的滥用案例。
为了防御日益增长的API滥用威胁,Akamai提出了三项重要策略:
1.拓展对API攻击的思考
2.分析更多有关API的数据
3.利用API发现滥用行为
此外,Akamai强调了需要足够复杂的安全控制来应对这种复杂且快速发展的威胁形势。
零信任对于保护 API 安全的重要性
Akamai讨论了零信任架构(ZTA)在应用程序编程接口(API)安全方面的重要性,指出了ZTA原则与API的交叉点,并提出了扩展ZTA以包含API的初始步骤:
1.实施持续的 API 发现并维护所有 API 和 API 可访问资产的准确清单
2.当发现未经批准的 API 时,确保系统化的工作流程到位,将其纳入管理或消除
3.无论 API 是公共的还是私有的,都实施完善的 API 身份验证和授权
4.从OWASP API 安全 Top 10开始,主动识别 API 漏洞作为一项持续的学科
5.开发分析大型 API 流量数据集的功能,以确定正常行为的基线并执行异常检测
6.通过 API 集成实施时,将威胁和信任洞察馈送到 ZTA 策略引擎中
7.当 API 漏洞、威胁和滥用行为出现时启动自动响应
开发分析大型 API 流量数据集的功能,以确定正常行为的基线并执行异常检测
通过 API 集成实施时,将威胁和信任洞察馈送到 ZTA 策略引擎中
当 API 漏洞、威胁和滥用行为出现时启动自动响应
Akamai将XDR功能引入 API 安全防护
随着时间的变化,很多安全孤岛都逐渐发展为包含更多统一的扩展检测和响应 (XDR) 方法。Akamai 看到了将 XDR 的强大功能引入 API 安全性中的机会。虽然XDR可以为企业安全带来重要价值,但对于面向合作伙伴应用程序和机器对机器通信的API安全威胁,XDR可能并不会带来太多益处。然而,可以通过创新方式将XDR原则应用于API安全防护,特别是利用行为分析和威胁搜寻等技术。
Akamai 产品的用户界面中提供了一个功能强大的 API 威胁搜寻 工具集。API Security 是一个全新解决方案 ,若企业的 API 威胁搜寻技能可能仍然处于发展阶段,Akamai也提供了 Akamai API Security ShadowHunt,这是行业内仅有的由专家提供支持的托管 API 威胁搜寻服务。
Akamai的安全产品组合
Akamai的安全产品组合
Akamai 通过帮助将安全性嵌入到企业创建的所有内容中(无论企业在何处构建以及在何处交付)来保护客户体验、系统和数据。利用Akamai全球平台的威胁可视性、广泛的解决方案组合提供行业领先的可靠性,因此企业可以领先于威胁并快速适应不断变化的安全形势。Akamai的安全解决方案产品组合包括:
1.零信任安全(防止攻击进展和横向移动):在整个网络中采用零信任来加速合规性并保护您的应用程序和工作负载免受勒索软件的侵害。
2.应用程序和 API 安全性(保护工作流程、用户和业务逻辑):通过保护各地的应用程序和 API,保护企业的在线形象免受恶意活动和欺诈的影响。
3.基础设施安全(保护为应用程序提供支持的基础设施):通过保护云、本地和混合中的应用程序基础设施,保持业务连续性,抵御 DDoS 和 DNS 攻击。
《API安全8个注意事项》
根据Akamai创建的 《API 安全 8 个注意事项》的简短指南 ,总结了Akamai在研究以及与世界上一些最复杂的 API 驱动组织的合作中获得的一些经验教训和最佳实践。它包括为组织开发更复杂的API 安全策略时要实施的基本策略以及要避免的陷阱:
1.努力实现完整的 API 可见性
2.务必将业务环境作为企业的战略核心
3.优先考虑跨部门协作
4.务必将 API 安全视为一个连续的生命周期
5.不要害怕云,将迁移到云作为 API 安全策略的一部分至关重要
6.不要让数据成为一条单行道
7.不要忽视第三方 API
8.不要只专注于警报发生后,请考虑主动搜寻威胁
观察
从上述内容 助理总编徐培炎认为,API安全性已经成为当今互联网安全领域的重要话题。随着API流量的持续增长和API攻击的大幅增加,API滥用已经成为一个严峻的挑战。这种趋势强调了企业需要加强对API安全的关注,并采取措施来防止API滥用和其他形式的攻击。
Akamai的观察和策略建议为我们提供了关于API安全趋势的深入分析。首先,API流量的主导地位和API攻击的大幅增长表明,API已经成为攻击者的主要目标。由于API通常是企业与合作伙伴、客户和其他第三方进行交互的主要方式,因此保护API免受攻击对于维护企业声誉和信任至关重要。
其次,Akamai提出的防御API滥用的策略强调了需要拓展对API攻击的思考、分析更多有关API的数据以及利用API发现滥用行为。这些策略建议表明,企业需要采取更加主动和全面的方法来保护其API免受攻击。这包括了对API流量的持续监控、对异常行为的及时检测和响应、以及对API漏洞的主动识别和管理。
此外,零信任架构(ZTA)在API安全方面的应用也被强调。零信任架构的核心原则是“永不信任,始终验证”,这意味着企业应该对所有访问其API的请求进行身份验证和授权,而不仅仅是信任内部网络或特定用户群体。通过将零信任原则应用于API安全,企业可以更有效地防止未经授权的访问和潜在的API滥用。
最后,Akamai将XDR功能引入API安全防护的建议表明,企业需要采取更加创新和全面的方法来应对API安全威胁。XDR的扩展检测和响应方法可以帮助企业更好地了解其API流量和行为,并及时发现和响应潜在的威胁。通过将XDR原则应用于API安全防护,企业可以提高其API安全性的整体水平,并减少潜在的损失和风险。
综上所述,API安全性已经成为当今互联网安全领域的重要话题。随着API流量的持续增长和API攻击的大幅增加,企业需要加强对API安全的关注,并采取措施来防止API滥用和其他形式的攻击。通过采取更加主动、全面和创新的方法来保护其API免受攻击,企业可以维护其声誉和信任,并确保其与合作伙伴、客户和其他第三方之间的交互是安全和可靠的。