RSA 2019觀察： 應用安全趨勢與解析 —— DevOPS與API安全

隨著雲大物移的發展，應用的形態與需求正在經歷變革，筆者認為接下來應用安全的趨勢在於一技一道， 技術發展持續的圍繞API理念創新， 方案、產品及服務的設計理論繼續逐步邁向DevOPS，接下來行文一篇，愚做以解析。

網路的第一性原理應是為連線二字，網站是伴隨著網際網路的出現而出現，作為連線自然人與虛擬世界的橋樑。而當下，這座橋樑的概念不再侷限於Web，它迅速的增加了車聯網應用、物聯網應用以及移動應用。當下資訊化的浪潮與科技的進步都對企業提出了更多的業務需求，而無論是勞動就業人口的下降還是從業人員的薪資上漲，都在導致當前程式設計師的比例無法去匹配近乎爆炸的需求。因而，利用好DevOPS的理念，打破部門牆，通過自動化提升效能，以及利用API 釋出，最小化迭代與複用，將會成為未來應用開發的主流趨勢。

而對於為客戶提供應用安全的廠商來說，則應看到另一個重要問題，DevOPS目標在於引導公司相關流程變革為可重複性與自動化，雖然當下已有眾多最佳實踐可以選擇，但安全卻直接將這條鏈斷開，推回起點。 這裡引用Tinfoil Security CEO的一頁PPT，可以更詳細的看到這個問題的產生，不同部門目標的不匹配，導致在合作中，產生互相牽扯的反作用力。

因而，筆者認為在未來為客戶帶來價值的廠商，一定要將應用安全的產品與方案與客戶DevOps平臺進行適配，融入整個研發體系之中。

另外一個API也不能倖免， 由於API高內聚、低耦合的特性，既降低了程式設計師、團隊以及公司間的交流溝通成本，又可以快速迭代，更新或重建業務。 引用Akamai的資料，當前在公有云的流量中，83%的流量是API請求，1/3 來自於web瀏覽器，另外的2/3 可能就來自我們的家庭電視與智慧冰箱中。

2018年，綠盟科技在應對API 繞過、注入以及跨站等的攻擊層出不窮，更有甚者，在2018年底至今，綠盟科技WEB防火牆裝置已成功解決了國內外多起利用API進行大規模應用層DDoS攻擊的事件，這一顯著的變化，讓綠盟科技的研發團隊開始關注API安全，評估當前產品的防護能力在新形態下對客戶的保障程度。 整體而言，API便利的同時伴隨著脆弱，針對API的攻擊之所以成為主流，是因為API與傳統的WEB網站相比，攻擊面沒有減少。而與此同時，新增的API往往就代表著新的業務上線，而新業務的可攻擊點會與在開發階段對安全的重視程度成直接反比，同時API簡單的特性，讓部分API的授權形同虛設，攻擊者可以非常方便的進行攻擊除錯，花費更少的時間和代價得到成功。因而，後續API安全的防護能力，應該具備對於API的授權管理、呼叫監控等功能。

雲大物移時代下，企業的業務正在經歷變革，RSAC也敏銳的觀察到了這一點，應用安全領域2019年幾乎每一個主題都伴隨著業務的形態變化，而這裡筆者認為，安全公司要做好應用安全的保障，相關產品體系的戰略目標就應該圍繞著DevOps及API進行設計，從而實現共贏。