API保護的創新洞察
Web API流量和攻擊的數量和嚴重程度與日俱增。新方法透過特定的API安全功能補充了傳統的Web應用程式安全措施。安全和風險管理領導者應確定何時尋求這種額外的保護。
概述
主要發現
- 安全領導者正在尋找額外的安全功能來保護他們的
API。他們正在擴展現有的
API Gateway和Web應用程式和API保護解決方案——特別是在具有高安全要求的垂直行業。
- 客戶在查詢期間表達的主要擔憂包括個人數據竊取、帳戶接管和自動內容抓取。
- API保護創新保護Web
API免受漏洞利用、濫用、訪問違規和拒絕服務
(DoS)攻擊。
- API保護產品提供三種主要類型的功能——發現、狀態管理和運行時保護。
建議
為了保護他們的API,安全和風險管理領導者應該:
- 首先發現和分類您的API。執行威脅建模以確定降低風險所需的特定安全機制。
- 評估您當前的API保護解決方案或API
Gateway提供的API保護。如果您的風險緩解需要額外的API保護,請調查可以提供額外保護層的API安全專家。
- 透過使用內部安全運營中心(SOC)或託管服務,解決行為異常檢測可能產生的安全分析工作負載。
- 執行應用程式安全測試(AST)或滲透測試練習,以發現可能隱藏的業務邏輯問題。
戰略規劃假設
到2025年,將管理不到50%的企業 API,因為API的爆炸式增長超過了API管理工具的能力。
到2025年,至少70 %的組織將僅為他們生產的面向公眾的API部署專門的運行時保護,而其他API不受監控且缺乏API保護。
到2026年,40%的組織將根據高級API保護和Web應用程式安全功能選擇其 Web APP和API保護提供商,而今年這一比例還不到15%。
介紹
隨著API流量的增長,API安全性日益受到關注。 Web API互連應用程式,正在成為企業數字化轉型的核心。在生產和公開 Web API 時,組織被要求定義他們與其他實體(如合作夥伴和客戶)進行通訊的方式。缺乏標準化這些通訊的最佳實踐。組織構建的API通常是高可見性違規的原因。
許多組織保護API流量的方式與保護其遺留應用程式的方式相同。由於流量的不同結構(例如,JSON有效負載)或由於API事務的特徵(例如,由於高頻率),通用應用程式安全控制可能表現不佳。尤其是在具有高安全要求的垂直行業中,安全領導者正在尋找額外的安全功能來保護他們的API。在這項研究中,我們探索了新興的API安全創新,這些創新將幫助組織發現他們的API,識別和解決漏洞,並在運行時保護API。
描述
定義
API保護創新保護Web API免受漏洞利用、濫用、訪問違規和拒絕服務(DoS)攻擊。雖然可以保護所有類型的API,但通常組織最初專注於本地開發、面向公眾並提供與關鍵應用程式連接的API。這些解決方案透過對API參數和有效負載的內容檢查、流量管理以及至少用於異常檢測的流量分析相結合來提供 API 安全性。
API安全創新主要由新興API安全廠商提出。但是,API安全功能可以作為 API Gatway、保護解決方案和應用程式安全測試供應商擴展產品組合的一部分獲得。
根據特定的架構,API安全解決方案可以作為服務或本地產品提供,或者採用混合方法。特別是,該解決方案可能需要收集數據並將其發送回其雲端以進行行為異常檢測,或者它可能需要完全在本地識別異常模式。大多數解決方案不是在線解決方案。相反,他們透過與企業內的應用程式和基礎架構組件集成來獲取流量數據和其他訊息。
許多API安全產品的一個重要部分是發現API的能力。
一個完整的API安全程式應該包括對開發和測試階段的控制。大多數API保護工具會評估錯誤配置的API狀態。
好處和用途
客戶在查詢期間表達的一些最關注的問題包括個人數據竊取(例如,利用損壞的對象級別授權 [BOLA] 漏洞)、帳戶接管和自動內容抓取(例如,價格抓取)。客戶報告的一個常見場景是後端團隊提供API。其目的是只有某些前端應用程式會使用API,但攻擊者成功地直接訪問後端API,繞過允許的前端應用程式。
雖然安全領導者可以使用保護解決方案、API Gateway和應用程式安全測試工具等工具中的現有功能來應對API攻擊,但這種方法存在許多挑戰:
- 安全領導者通常不擁有由基礎設施和運營團隊(例如
API Gateway)管理的工具,並且應用程式安全測試掃描工具越來越多地將所有權轉移給應用程式開發團隊。
- API Gateway和應用程式安全測試工具安全功能可能會受到限制,具體取決於供應商。雖然一些領先的供應商已經包括更高級的API發現和控制,但許多供應商仍然僅限於提供限制、安全傳輸和類似類型的安全策略實施。
- 高安全性和受監管的垂直行業的安全領導者在詢問可以立即提供所需功能的高級解決方案時表達了他們的願望。
