【公益譯文】行業調查：企業API安全

API安全介紹與關鍵研究成果

介紹 

對於現代企業來說，API不再只是一個技術基礎架構。API迅速成為新的應用層，將組織和使用者連線起來，以全新方式提供價值，成為業務本身一個不可或缺的組成部分。雖然更多API會帶來更大價值，但也導致了更大攻擊面和新型漏洞。

作為一家專注於API發現、測試和保護的領先安全公司，Imvision就當今的組織如何處理API安全採訪了大型企業的100多名高階安全領導者：

安全方法方面，哪些已採用？哪些已失去安全領導者的信任？對於API，目前誰擁有最終決定權？誰在觀望，希望加強控制？

透過分析，我們生動地描述了當今安全域性勢，指出API會帶來許多新挑戰和漏洞，而組織尚不知如何應對。在很多情況下，甚至連API的功能也難以界定。

最重要的是，本報告表明跨團隊協作是向前邁進的最有效方法：一方面，安全團隊在傳統企業安全領域積累了豐富經驗，另一方面，API團隊對API的特性和獨特挑戰有深入瞭解。

本報告重點介紹具有前瞻性思維的安全領導者如何保持領先地位，與其他團隊合作投入有意義的事業，加速數字化轉型。

API安全是當今安全領導者的當務之急

• 在未來24個月內，91%的安全領導者將API安全視為優先事項，而80%希望加強API控制。

• 鑑於公司目前利用多個API，這並不為奇：73%的企業使用超過50種API，而且數量還在不斷增長。

• 這就帶來了管理上的難題，特別是考慮到開放的API中80%供合作伙伴和客戶使用。
  

• 最終，只有1/3的安全領導者認為他們的API得到了合理保護。

明確API安全支柱的幾大驅動因素

對於API安全，安全領導者有三個當務之急：訪問控制（63%）、安全測試（53%）和異常檢測與防護（43%）。除了這些主要功能之外，API保護的關鍵使能因素是與組織的現有系統整合（52%），且首先深入瞭解所使用的API（50%）。

雖然API安全很容易被視為一套獨立的任務、技術和責任，但每個API都是一個獨特攻擊面，各種安全元件需圍繞它有效協同工作。

安全領導者越來越意識到，若要築牢API安全基礎，至少需落實這三個最重要事項，從而構建“API安全支柱”。

API管理只是其中一個環節

API管理（APIM）平臺是使用最廣泛的API安全技術，80%的企業已使用或正在考慮使用該技術。同時，大多數安全領導者現在意識到這還不夠——只有18%認為APIM管理的是要保護的最高風險API。

然而，雖然APIM提供訪問控制並納入API閘道器提供一些執行時保護，但通常利用基本策略實施方案，而且缺乏關鍵安全能力：APIM不涉及API業務邏輯和功能，因此無法阻止API濫用。此外，APIM不支援安全測試。由於只有19%的組織每天測試其API，因此，安全測試將成為安全領導者考慮的首要因素。

留心安全缺口：傳統應用安全工具不適用

WAF和SAST/DAST等通用應用安全解決方案是各廠商提出的常用API安全保障工具。

然而，我們的絕大多數受訪者一致認為，他們並沒有將這些系統納入技術路線圖 – 對於50%或更多安全領導者來說，這些系統甚至不是備選方案。

隨著攻擊面不斷擴大，當今的組織已意識到現有工具存在侷限性，但苦於找不到可行的替代方案，這使得他們普遍傾向於採用新技術實現執行時保護和安全測試，為APIM發揮API安全支柱作用提供輔助和支援。

API安全技術利用與計劃

誰擁有最終決定權？企業面臨責任方面的挑戰

各角色的API安全責任

我們的報告顯示，大多數企業，無論是卓越中心、專業API團隊，還是其他實體，都會組建集中整合團隊保障API安全性。由於這些團隊通常負責運營API管理平臺，因此API安全理所當然地落在他們身上。

然而，安全領導者認為他們應該和API團隊合作保障API的安全。

可見，合作是最好的前進之路：一方面，傳統企業安全領域（如網路和應用程式）的經驗可用於API安全計劃。另一方面，專業的API團隊對API本質帶來的獨特挑戰有深入的瞭解。

誰承擔費用誰就有決定權

隨著企業在數字化轉型過程中不斷開放新的API、越來越多地使用API，我們可以看到相應的責任和預算也在發生變化。

一旦公司有超過50個API，研發和IT團隊的地位可能會被削弱，因為安全部門還會承擔39%的責任，其作用會凸顯，而若需管理的API不足50個，這一比例僅為5%。

在API安全預算方面，企業缺乏明確的合理方案，這進一步強化了協作的必要性，因為沒有任何一個團隊可獨立負責該項工作。

對於面向未來的組織來說，無論哪個團隊牽頭，相互影響和合作對於幫助組織構建理想的API安全支柱來說顯然比以往任何時候都更加重要。

API安全預算責任主體

基於API數量的API安全預算責任主體分佈

企業&API

API應用廣泛

現在，幾乎每個企業都有API。面向安全領導者的調查表明，92%的企業有10個以上API，73%的數量超過50個。規模較小的企業似乎更樂於採用API技術，數字化轉型步伐更快速。然而，目前擁有10,000多名員工的大型企業中，54%使用的API超過50個。組織雖然可能有50個API，但實際的端點數量會更多，這就增加了底層功能保護的複雜性。

公司的API數量統計

各規模公司使用的API數量

80%的企業透過外部API提供資料訪問

企業利用的API多種多樣，其中內部API的使用最普遍，即組織的開發人員內部使用的API — 71%的公司採取這種方式。其次，B2B的外部API（組織為其業務合作伙伴開放的私有API）佔63%，B2C的外部API（消費者透過移動應用程式使用的私有API）佔53%。一般來說，80%的組織允許合作伙伴（B2B）或使用者（B2C）透過外部API訪問其資料。

企業利用的API型別

 外部API的使用情況

整合與效能相關API佔主流，業務方面也不甘落後

由於公司主要在內部使用API，因此對於大多數企業來說，API策略實施的主要推動力來自於應用程式效能（64%）和開發與整合（58%）的提升，這並不奇怪。但是，用於提升客戶體驗的業務API所佔比重也不小（56%），這表明業務對API的依賴性在不斷增強。除了這些API使用的驅動因素之外，重要的是，對於大型企業來說，也可能有許多API源於外部併購活動，而非內部開發。組織正在邁入一個新的數字時代，即利用API以新的方式傳遞價值，使API成為業務本身不可或缺的一部分。

公司的API策略

漏洞與挑戰

API閘道器的部署取決於其管理的API

有些API比較容易受到攻擊。雖然API閘道器能減少一些漏洞，但最重要的漏洞不存在於這些平臺管理的API中——40%的調查物件表明，影子API最容易受到攻擊。值得注意的是，第三方使用的API似乎帶來了第二大API安全威脅，如利用此類API導致了SolarWinds的入侵。

存在高風險漏洞的API

API清單和方案的維護影響API安全性

主要的API安全挑戰

API保護是一項具有挑戰性的任務，大多數安全領導者一致認為，當前的流程和工具無法實現這一任務。當被問及公司目前面臨哪些API安全挑戰時，64%的受訪者表示，他們目前的解決方案根本無法提供所需的API保護。其次，研發部門後續未能充分維護要實施的方案（61%），且制定的API清單不準確或不全面（58%）。最後兩項很重要，因為它們關係到安全團隊是否能夠定義可有效執行的API策略。

整合和可見性是API安全提升的障礙

只有13%的公司不存在API安全提升障礙。對於其他87%的公司來說，最突出的兩大障礙是與現有系統和工作流程整合（52%），保證組織使用的API（50%）的可見性。這兩個挑戰的存在不足為奇，因為發現和整合一直是兩大安全推動因素。公司若不克服這些障礙，很難有效實施安全解決方案，提升安全態勢。此外，25%的安全領導者認為研發合作是最大障礙。

API安全提升障礙

優先事項與最佳實踐

API將持續存在，而且安全領導者已意識到API構成了一個新技術層，需要特別關注。關於未來12-24個月內API安全性優先順序，90%的受訪者表示API安全性是個高度優先問題，87%希望加強API控制。

安全領導者希望採取全面的API防護方案

儘管API安全很容易被視為一項獨立的工作、技術和責任，但每個API都是一個獨特攻擊面，各種安全元件需圍繞它有效協同工作。對於API安全，安全領導者有三項考慮重點：訪問控制（63%）、安全測試（53%）和異常檢測與防護（43%）這三項構成了API安全支柱，這一整體方案為數字企業實現成熟穩健的API安全策略打下了堅實的基礎。

2021年API重點安全事項

傳統應用安全方案未納入API保護路線圖

API管理/閘道器透過完善訪問控制和某些執行時保護措施提升API管理和安全性，是目前最流行的技術。90%的使用者在使用、計劃或考慮2021年對其進行測試。也許最值得關注的是，絕大部分安全領導者稱，他們的API保護路線圖不涉及傳統的應用安全解決方案（WAF和應用安全測試）。對於50%或更多的安全領導者來說，這些系統甚至未被視為優先事項。隨著攻擊面的擴大，組織意識到了他們當前的工具存在侷限性。

持續開展API安全測試仍然是個挑戰

幾乎所有的公司都在進行API測試。由於API的使用越來越廣泛，因此須在一定範圍內定期開展測試。只有19%的受訪者每天進行API測試，35%的每月測試一次，甚至頻率更低。我們對各種規模的公司進行測試頻率統計，發現公司規模越大，測試頻率越低。與有1000-4999名員工（74%）的公司相比，擁有10,000多名員工的公司的測試頻率更低（每週或每天53%）。

API安全測試頻率

基於公司規模的API安全測試頻率

人員統計

職位角色

公司規模

受訪者全球分佈

 ·  譯者宣告    ·    

由綠盟科技部落格與“安全加”社群小蜜蜂公益翻譯組合作完成，免責宣告及相關責任由“安全加”社群承擔。

·   文章資訊    ·    

本文由IMVISION網站釋出，原文名稱：Enterprise API Security Survey

小蜜蜂翻譯組公益譯文專案，旨在分享國外先進網路安全理念、規劃、框架、技術標準與實踐，將網路安全戰略性文件翻譯為中文，為網路安全從業人員提供參考，促進國內安全組織在相關方面的思考和交流。