API安全是當下企業面臨的最嚴峻的網路安全挑戰之一。 在過去的12個月中,API攻擊新增了681%,而整體API流量也新增了321%。 根據Salt的2022年第一季度API安全狀況報告,惡意API調用從2020年12月的每個客戶月均273萬次飆升到2021年12月的2132萬次。 Salt的客戶擁有Web應用程序防火牆,並且幾乎所有客戶都擁有API閘道,但API攻擊正在繞過這些安全控制。
API安全失控
API攻擊的爆發式增長也扼殺了業務創新。 例如,62%的企業承認由於API安全問題延后了新產品的推出和應用程序的推出。 此外,95%的DevOps領導者和團隊表示他們在過去12個月中遭遇過API安全事件。 三分之一的DevOps組織表示,儘管在生產環境中運行API,但他們的公司缺乏任何API安全性原則。
根據Gartner的數據,到2024年API攻擊將加速並翻一番。 與此同時,API承載的業務量也在高速增長,從2019年到2021年,與API相關的査詢量穩步增長,平均同比增長33%。
DevOps領導者面臨著在預算內按時交付數位化轉型項目的壓力,同時還需要開發和微調API。 不幸的是,當DevOps團隊急於在截止日期前完成項目時,API安全管理往往成了馬後炮。 當企業中的所有DevOps團隊都沒有他們需要的API管理工具和安全防護時,API安全問題很快就會失控。
更多的DevOps團隊需要一種可靠、可擴展的方法來防止API安全失控。 此外,DevOps團隊還需要將API管理轉移到零信任框架,以降低數據洩露的風險。
API防護的六個階段
Cequence Security和Forrester在DevOps和API安全網絡研討會提出了API保護的六個階段。
“那些最大型的組織日常會處理數百個使用擴展API的應用程序,隨著數位化的不斷深入,未來他們將面對數萬或數十萬個API。囙此,對API的管理和跟踪將變得更加困難。” Forrester首席分析師Sandy Carielli在網絡研討會上說。
Cequence Security則將API防護劃分為六個階段,第一階段從發現和識別所有面向公眾的API開始,然後進階到庫存、合規性、檢測、預防和檢測
Cequence Security認為,在整個API安全生命週期採用集成的,基於生命週期的反覆運算方法有助於識別和管理API,同時能有效檢測和防止API攻擊。
Forrester的首席分析師Sandy Carielli指出:API需要作為易受攻擊的、未受保護的開放攻擊面進行管理。 網絡犯罪分子知道API疏於防護,API攻擊近年來保持著三位數的高增長率,企業迫切需要使用零信任框架進行API安全管理。
API攻擊面管理離不開零信任
Capital One、JustDial、Venmo、Panera Bread、T-Mobile、美國郵政服務等公司的API漏洞表明,數以千計的API沒有受到保護,是網絡犯罪分子最喜歡的攻擊面之一。 API需要最少的特權訪問,並使用更基於微分段的方法進行管理。 零信任的這兩個要素結合身份和訪問管理(IAM)框架來管理API,將减少企業現時難以追跡的“流氓API”和“失踪API”的數量。 此外,應用最小許可權、微分段和IAM將减少用於內部測試的端點數量(這些端點保持打開狀態,可以訪問API)。
API生命週期需要建立在零信任之上
安全控制不應當成為DevOps的絆腳石。 將零信任嵌入API生命週期首先是不信任用戶端提供的數據,並使用默認拒絕流程來删除所有隱式信任。 DevOps領導者需要將身份驗證構建到API生命週期的每個階段。 目標需要是為每個API開發和部署項目設計明確的信任規則。
基於零信任的有效API治理
DevOps領導者及其團隊需要幫助平衡其業務對API不斷增長的需求與保持合規性的需求,以支持新的數位化轉型項目。 面對快速地創建API的壓力,DevOps團隊首先加速業務收益,並嘗試在開發時間表允許的情况下趕上合規性、安全性和隱私性。 安全控制必須轉向API級別的信任,為生成的每種類型的API定義安全上下文。
以零信任加强CI/CD和SDLC
對原始程式碼供應鏈的攻擊表明,零信任必須成為持續集成/持續交付(CI/CD)和SDLC等DevOps框架和流程的覈心。 類似SolarWinds這樣的軟件供應鏈攻擊成功地更改了應用程序的覈心可執行文件,然後感染了整個供應鏈,這使得零信任成為當今DevOps團隊需要處理的緊迫問題,只有在SDLC設計階段融合安全,才能讓安全不再成為程式碼生產的阻力。 SDLC週期也將運行得更快,因為安全將不再是項目結束後的附加流程,這將大大改善了程式碼安全治理。
API安全不能是馬後炮
為了按時完成大型數位化轉型項目,很多DevOps團隊負責人急於完成API發佈週期,同時將安全性視為完成工作的障礙。 這導致API的安全檢查和審計工作非常草率甚至缺失。 DevOps團隊中的每個人都被迫滿足或超過程式碼發佈日期。 API安全成為沒有人有時間處理的附加流程,導致API安全問題蔓延。
當零信任成為API和DevOps流程的設計目標時,安全性才能在整個SDLC中得到加强。 此外,IAM和微分段將極大地提高庫存準確性,减少流氓或被遺忘的API的威脅,避免整個平臺或公司因網絡攻擊而癱瘓。
