从安全漏洞的温床到数字化转型的强劲加速器,企业如何重塑API安全

发布时间:2024-10-23 13:32  

作者: 刘炅 Akamai大中华区产品市场经理 

网上购物平台PandaBuy超过130万客户的数据被泄露。据称该起事件是两名黑客利用多个漏洞入侵系统后造成的。PandaBuy允许国际用户从中国的各种电子商务平台购买产品,包括天猫、淘宝和京东。一个名叫“Sanggiero”的威胁者声称与另一名叫“IntelBoker”的威胁者一起入侵了PandBuy。而据威胁参与者表示,他们是通过利用平台API中的几个关键漏洞来窃取数据的。

随着互联网的发展和演进,各种技术应运而生。微服务架构的采用,开发过程对于创新和敏捷性的要求,开放的生态对于接口开放的需求、以及AI中大预言模型(LLM)对于API调用的依赖,都促成了API的广泛的采用和高速的发展。 API流量已经统治了互联网,近30%的互联网流量为API的流量。

API流量承载着企业重要的、甚至是敏感的数据,已经成为了企业重要的资产。也正因为如此,API也成为了黑客攻击的主要目标。据统计,互联网的攻击中,有31%的攻击目标都是企业的API资产,有78%的企业在过去的12个月中都受到过API的攻击。许多基于API攻击导致的数据流失、系统不可用,使得企业对于API安全愈加重视,很多安全标准化组织、行业安全标准也都把API安全的检测和防护纳入到标准中,也使得企业对于API的安全建设有据可依。

API的安全建设和防护已经是企业安全架构中最重要的一环,API作为流动的数据,是企业最需要保护的资产之一。

API安全现状概览

Akamai 的《2024 年互联网 API 威胁状况报告》显示,2023年全年,针对API的网络攻击占比高达29%,凸显了API已成为网络犯罪分子的重点攻击对象。尤为值得关注的是,业务逻辑滥用问题日益凸显,因缺乏明确的API行为基线,异常活动难以被及时察觉。此外,根据Gartner研究:《API保护市场指南》,API漏洞导致的数据泄露规模远超一般安全漏洞。

从数据层面来看,Akamai的SOTI报告《数字堡垒被围攻:现代应用程序架构面临的威胁》也揭示了一个更为惊人的事实:从2023年第一季度至2024年第一季度,全球范围内针对应用程序和API的攻击数量激增了49%,而在亚太地区,这一数字更是攀升至65%。在短短一年半的时间内,全球范围内记录的API攻击次数竟高达1080亿次。


API滥用现象的多元化与严峻性

对于企业而言,API的滥用已成为不容忽视的隐忧。滥用形式层出不穷,包括但不限于内部人员的未授权访问、数据泄露以及DDoS攻击等。其中,本地文件包含(LFI)、跨站脚本(XSS)、SQL注入(SQLi)、命令注入(CMDi)以及服务器端请求伪造(SSRF)等攻击手段尤为猖獗,且从2023年第一季度至2024年第一季度均呈现显著上升趋势。

尤为值得注意的是,第7层DDoS攻击在亚太地区迅速崛起,成为新的安全威胁。高科技、商业和社交媒体成为其主要攻击目标。据统计,以网站和在线服务应用层为目标的第7层DDoS攻击在过去一年中激增了五倍,总攻击次数高达5.1万亿次。这类攻击通过海量请求使目标网站和服务不堪重负,导致响应迟缓甚至完全瘫痪。

API安全威胁的根源探析

亚太地区频繁遭受的API和网络攻击,与其经济的快速数字化转型密不可分。在激烈的市场竞争中,企业为抢占市场先机,纷纷加速线上运营转型步伐,导致开发和安全资源捉襟见肘,安全流程往往被置于次要地位。与此同时,API经济的蓬勃发展也为网络犯罪分子提供了可乘之机,他们利用漏洞和滥用业务逻辑的手段层出不穷。据预测,至2027年,API将对全球经济产生高达14.2万亿美元的经济影响。然而,这一巨大利益背后,也隐藏着API安全复杂性的加剧。因此,构建一套可靠的最佳实践体系,以妥善保护企业敏感数据、确保API安全,显得尤为迫切和重要。

防御策略建议

面对API安全的严峻挑战,企业应如何构建有效的防护体系?企业可以参考以下几点建议:

1.提升可视性:企业应首先确保对API的全面掌控和清晰认知。这包括对所有API的存在、端点及功能进行详尽梳理和记录。通过增强API的透明度,企业能够及时发现并处理潜在的安全隐患。

2.强化漏洞管理:从设计和构建阶段开始,企业应建立一套完整的漏洞管理体系。利用OWASP安全风险清单等工具为开发人员提供良好编码实践的指导;同时,与专业的安全厂商合作,共同推进跨部门、跨团队的协作机制,以实现对潜在风险的及时识别和有效防御。

3.加强业务逻辑保护:鉴于攻击手段的多样化,企业需高度重视业务逻辑的安全性。通过建立业务逻辑基线、实施严格的访问控制和审计机制等措施,企业能够有效抵御针对业务逻辑的攻击行为,确保关键业务数据的安全与完整。

API已成为现代企业数字化转型的核心驱动力。在高度依赖API的数字环境中,企业必须建立并执行强大的安全策略以确保API的安全。通过保护API,企业将能够发掘新的收入增长点,提升运营效率并优化客户体验,以成功驾驭不断变化的数字环境。

文章来源于:ECCN    原文链接
本站所有转载文章系出于传递更多信息之目的,且明确注明来源,不希望被转载的媒体或个人可与我们联系,我们将立即进行删除处理。

我们与500+贴片厂合作,完美满足客户的定制需求。为品牌提供定制化的推广方案、专属产品特色页,多渠道推广,SEM/SEO精准营销以及与公众号的联合推广...详细>>

利用葫芦芯平台的卓越技术服务和新产品推广能力,原厂代理能轻松打入消费物联网(IOT)、信息与通信(ICT)、汽车及新能源汽车、工业自动化及工业物联网、装备及功率电子...详细>>

充分利用其强大的电子元器件采购流量,创新性地为这些物料提供了一个全新的窗口。我们的高效数字营销技术,不仅可以助你轻松识别与连接到需求方,更能够极大地提高“闲置物料”的处理能力,通过葫芦芯平台...详细>>

我们的目标很明确:构建一个全方位的半导体产业生态系统。成为一家全球领先的半导体互联网生态公司。目前,我们已成功打造了智能汽车、智能家居、大健康医疗、机器人和材料等五大生态领域。更为重要的是...详细>>

我们深知加工与定制类服务商的价值和重要性,因此,我们倾力为您提供最顶尖的营销资源。在我们的平台上,您可以直接接触到100万的研发工程师和采购工程师,以及10万的活跃客户群体...详细>>

凭借我们强大的专业流量和尖端的互联网数字营销技术,我们承诺为原厂提供免费的产品资料推广服务。无论是最新的资讯、技术动态还是创新产品,都可以通过我们的平台迅速传达给目标客户...详细>>

我们不止于将线索转化为潜在客户。葫芦芯平台致力于形成业务闭环,从引流、宣传到最终销售,全程跟进,确保每一个potential lead都得到妥善处理,从而大幅提高转化率。不仅如此...详细>>