【公益譯文】行業調查:企業API安全

綠盟科技發表於2021-10-27

API安全介紹與關鍵研究成果

介紹 

對於現代企業來說,API不再只是一個技術基礎架構。API迅速成為新的應用層,將組織和使用者連線起來,以全新方式提供價值,成為業務本身一個不可或缺的組成部分。雖然更多API會帶來更大價值,但也導致了更大攻擊面和新型漏洞。

作為一家專注於API發現、測試和保護的領先安全公司,Imvision就當今的組織如何處理API安全採訪了大型企業的100多名高階安全領導者:

安全方法方面,哪些已採用?哪些已失去安全領導者的信任?對於API,目前誰擁有最終決定權?誰在觀望,希望加強控制?

透過分析,我們生動地描述了當今安全域性勢,指出API會帶來許多新挑戰和漏洞,而組織尚不知如何應對。在很多情況下,甚至連API的功能也難以界定。

最重要的是,本報告表明跨團隊協作是向前邁進的最有效方法:一方面,安全團隊在傳統企業安全領域積累了豐富經驗,另一方面,API團隊對API的特性和獨特挑戰有深入瞭解。

本報告重點介紹具有前瞻性思維的安全領導者如何保持領先地位,與其他團隊合作投入有意義的事業,加速數字化轉型。

API安全是當今安全領導者的當務之急

  • 在未來24個月內,91%的安全領導者將API安全視為優先事項,而80%希望加強API控制。

  • 鑑於公司目前利用多個API,這並不為奇:73%的企業使用超過50種API,而且數量還在不斷增長。

  • 這就帶來了管理上的難題,特別是考慮到開放的API中80%供合作伙伴和客戶使用。

  • 最終,只有1/3的安全領導者認為他們的API得到了合理保護。

明確API安全支柱的幾大驅動因素

對於API安全,安全領導者有三個當務之急:訪問控制(63%)、安全測試(53%)和異常檢測與防護(43%)。除了這些主要功能之外,API保護的關鍵使能因素是與組織的現有系統整合(52%),且首先深入瞭解所使用的API(50%)。

雖然API安全很容易被視為一套獨立的任務、技術和責任,但每個API都是一個獨特攻擊面,各種安全元件需圍繞它有效協同工作。

安全領導者越來越意識到,若要築牢API安全基礎,至少需落實這三個最重要事項,從而構建“API安全支柱”。

【公益譯文】行業調查:企業API安全

API管理只是其中一個環節

API管理(APIM)平臺是使用最廣泛的API安全技術,80%的企業已使用或正在考慮使用該技術。同時,大多數安全領導者現在意識到這還不夠——只有18%認為APIM管理的是要保護的最高風險API。

然而,雖然APIM提供訪問控制並納入API閘道器提供一些執行時保護,但通常利用基本策略實施方案,而且缺乏關鍵安全能力:APIM不涉及API業務邏輯和功能,因此無法阻止API濫用。此外,APIM不支援安全測試。由於只有19%的組織每天測試其API,因此,安全測試將成為安全領導者考慮的首要因素。

【公益譯文】行業調查:企業API安全

留心安全缺口:傳統應用安全工具不適用

WAF和SAST/DAST等通用應用安全解決方案是各廠商提出的常用API安全保障工具。

然而,我們的絕大多數受訪者一致認為,他們並沒有將這些系統納入技術路線圖 – 對於50%或更多安全領導者來說,這些系統甚至不是備選方案。

隨著攻擊面不斷擴大,當今的組織已意識到現有工具存在侷限性,但苦於找不到可行的替代方案,這使得他們普遍傾向於採用新技術實現執行時保護和安全測試,為APIM發揮API安全支柱作用提供輔助和支援。

【公益譯文】行業調查:企業API安全

API安全技術利用與計劃

誰擁有最終決定權?企業面臨責任方面的挑戰

【公益譯文】行業調查:企業API安全

各角色的API安全責任

我們的報告顯示,大多數企業,無論是卓越中心、專業API團隊,還是其他實體,都會組建集中整合團隊保障API安全性。由於這些團隊通常負責運營API管理平臺,因此API安全理所當然地落在他們身上。

然而,安全領導者認為他們應該和API團隊合作保障API的安全。

可見,合作是最好的前進之路:一方面,傳統企業安全領域(如網路和應用程式)的經驗可用於API安全計劃。另一方面,專業的API團隊對API本質帶來的獨特挑戰有深入的瞭解。

誰承擔費用誰就有決定權

隨著企業在數字化轉型過程中不斷開放新的API、越來越多地使用API,我們可以看到相應的責任和預算也在發生變化。

一旦公司有超過50個API,研發和IT團隊的地位可能會被削弱,因為安全部門還會承擔39%的責任,其作用會凸顯,而若需管理的API不足50個,這一比例僅為5%。

在API安全預算方面,企業缺乏明確的合理方案,這進一步強化了協作的必要性,因為沒有任何一個團隊可獨立負責該項工作。

對於面向未來的組織來說,無論哪個團隊牽頭,相互影響和合作對於幫助組織構建理想的API安全支柱來說顯然比以往任何時候都更加重要。

【公益譯文】行業調查:企業API安全

API安全預算責任主體

【公益譯文】行業調查:企業API安全

基於API數量的API安全預算責任主體分佈

企業&API

API應用廣泛

現在,幾乎每個企業都有API。面向安全領導者的調查表明,92%的企業有10個以上API,73%的數量超過50個。規模較小的企業似乎更樂於採用API技術,數字化轉型步伐更快速。然而,目前擁有10,000多名員工的大型企業中,54%使用的API超過50個。組織雖然可能有50個API,但實際的端點數量會更多,這就增加了底層功能保護的複雜性。

【公益譯文】行業調查:企業API安全

公司的API數量統計

【公益譯文】行業調查:企業API安全

各規模公司使用的API數量

80%的企業透過外部API提供資料訪問

企業利用的API多種多樣,其中內部API的使用最普遍,即組織的開發人員內部使用的API — 71%的公司採取這種方式。其次,B2B的外部API(組織為其業務合作伙伴開放的私有API)佔63%,B2C的外部API(消費者透過移動應用程式使用的私有API)佔53%。一般來說,80%的組織允許合作伙伴(B2B)或使用者(B2C)透過外部API訪問其資料。

【公益譯文】行業調查:企業API安全

企業利用的API型別

【公益譯文】行業調查:企業API安全

 外部API的使用情況

整合與效能相關API佔主流,業務方面也不甘落後

由於公司主要在內部使用API,因此對於大多數企業來說,API策略實施的主要推動力來自於應用程式效能(64%)和開發與整合(58%)的提升,這並不奇怪。但是,用於提升客戶體驗的業務API所佔比重也不小(56%),這表明業務對API的依賴性在不斷增強。除了這些API使用的驅動因素之外,重要的是,對於大型企業來說,也可能有許多API源於外部併購活動,而非內部開發。組織正在邁入一個新的數字時代,即利用API以新的方式傳遞價值,使API成為業務本身不可或缺的一部分。

【公益譯文】行業調查:企業API安全

公司的API策略

漏洞與挑戰

API閘道器的部署取決於其管理的API

有些API比較容易受到攻擊。雖然API閘道器能減少一些漏洞,但最重要的漏洞不存在於這些平臺管理的API中——40%的調查物件表明,影子API最容易受到攻擊。值得注意的是,第三方使用的API似乎帶來了第二大API安全威脅,如利用此類API導致了SolarWinds的入侵。

【公益譯文】行業調查:企業API安全

存在高風險漏洞的API

API清單和方案的維護影響API安全性

【公益譯文】行業調查:企業API安全

主要的API安全挑戰

API保護是一項具有挑戰性的任務,大多數安全領導者一致認為,當前的流程和工具無法實現這一任務。當被問及公司目前面臨哪些API安全挑戰時,64%的受訪者表示,他們目前的解決方案根本無法提供所需的API保護。其次,研發部門後續未能充分維護要實施的方案(61%),且制定的API清單不準確或不全面(58%)。最後兩項很重要,因為它們關係到安全團隊是否能夠定義可有效執行的API策略。

整合和可見性是API安全提升的障礙

只有13%的公司不存在API安全提升障礙。對於其他87%的公司來說,最突出的兩大障礙是與現有系統和工作流程整合(52%),保證組織使用的API(50%)的可見性。這兩個挑戰的存在不足為奇,因為發現和整合一直是兩大安全推動因素。公司若不克服這些障礙,很難有效實施安全解決方案,提升安全態勢。此外,25%的安全領導者認為研發合作是最大障礙。

【公益譯文】行業調查:企業API安全

API安全提升障礙

優先事項與最佳實踐

API將持續存在,而且安全領導者已意識到API構成了一個新技術層,需要特別關注。關於未來12-24個月內API安全性優先順序,90%的受訪者表示API安全性是個高度優先問題,87%希望加強API控制。

安全領導者希望採取全面的API防護方案

儘管API安全很容易被視為一項獨立的工作、技術和責任,但每個API都是一個獨特攻擊面,各種安全元件需圍繞它有效協同工作。對於API安全,安全領導者有三項考慮重點:訪問控制(63%)、安全測試(53%)和異常檢測與防護(43%)這三項構成了API安全支柱,這一整體方案為數字企業實現成熟穩健的API安全策略打下了堅實的基礎。

【公益譯文】行業調查:企業API安全

2021年API重點安全事項

傳統應用安全方案未納入API保護路線圖

API管理/閘道器透過完善訪問控制和某些執行時保護措施提升API管理和安全性,是目前最流行的技術。90%的使用者在使用、計劃或考慮2021年對其進行測試。也許最值得關注的是,絕大部分安全領導者稱,他們的API保護路線圖不涉及傳統的應用安全解決方案(WAF和應用安全測試)。對於50%或更多的安全領導者來說,這些系統甚至未被視為優先事項。隨著攻擊面的擴大,組織意識到了他們當前的工具存在侷限性。

【公益譯文】行業調查:企業API安全持續開展API安全測試仍然是個挑戰

幾乎所有的公司都在進行API測試。由於API的使用越來越廣泛,因此須在一定範圍內定期開展測試。只有19%的受訪者每天進行API測試,35%的每月測試一次,甚至頻率更低。我們對各種規模的公司進行測試頻率統計,發現公司規模越大,測試頻率越低。與有1000-4999名員工(74%)的公司相比,擁有10,000多名員工的公司的測試頻率更低(每週或每天53%)。

【公益譯文】行業調查:企業API安全

API安全測試頻率

【公益譯文】行業調查:企業API安全

基於公司規模的API安全測試頻率

人員統計

【公益譯文】行業調查:企業API安全

職位角色

【公益譯文】行業調查:企業API安全

公司規模

【公益譯文】行業調查:企業API安全

受訪者全球分佈

 ·  譯者宣告    ·    

由綠盟科技部落格與“安全加”社群小蜜蜂公益翻譯組合作完成,免責宣告及相關責任由“安全加”社群承擔。

·   文章資訊    ·    

本文由IMVISION網站釋出,原文名稱:Enterprise API Security Survey

小蜜蜂翻譯組公益譯文專案,旨在分享國外先進網路安全理念、規劃、框架、技術標準與實踐,將網路安全戰略性文件翻譯為中文,為網路安全從業人員提供參考,促進國內安全組織在相關方面的思考和交流。

相關文章