- 30 6 月, 2022
- Posted by: admin
- Category: 教學資訊
Imperva 發布了一項新研究,揭示了易受攻擊或不安全 API 的全球成本不斷上升。
對近 117,000 起獨特的網絡安全事件的分析估計,API 不安全每年會導致 41-750 億美元的損失。
這項由 Marsh McLennan 網絡風險分析中心進行的研究發現,
在統計上,較大的組織更有可能發生更高比例的 API 相關事件。
事實上,收入至少為 1000 億美元的企業遇到 API 不安全的可能性是中小型企業的 3-4 倍。
數據表明,隨著這些成熟的組織加速數字化轉型,
大公司特別容易受到與暴露或未受保護的 API 相關的安全風險的影響。
API 是無形的結締組織,使應用程序能夠共享數據以改善最終用戶體驗和結果。
企業使用的 API 數量正在快速增長;近一半的企業內部或公開部署了 50-500 個,而有些企業擁有超過一千個活動 API。
許多 API 直接連接到存儲敏感數據的後端數據庫。
因此,黑客越來越多地將 API 作為通往底層基礎設施的途徑,以竊取敏感信息。
如今,每 13 起網絡事件中就有多達 1 起可歸因於 API 不安全。
隨著生產中的 API 數量成倍增加,預計這一數字將在未來幾年增長。
該研究還發現了行業之間的巨大差異。
IT、專業服務和零售最有可能遭受與 API 相關的安全事件:
“如果沒有解決 API 安全問題的戰略,世界各地的企業每年將繼續損失巨額資金,
”產品管理高級副總裁Karl Triebes說。Imperva 應用程序安全總經理。
“為了緩解與 API 相關的安全威脅數量不斷增長,
組織需要能夠發現其環境中的所有 API,並了解流經每個 API 的數據。”
提高 API 安全性的建議:
- 識別和分類流經每個 API 的數據:
可見性對於理解每個 API 的完整架構以及識別和分類流經它的數據以便評估風險至關重要。 - 自動發現:
API 的生成速度很快,並且經常修改,這使它們成為許多組織的盲點。
通過自動化,組織可以消除流氓或影子 API。
此外,通過自動化 API 清單,安全團隊將了解開發人員何時在生產中修改 API。 - 啟用 API 治理:
對於高度監管行業的組織,API 治理模型至關重要。
這只有在可見性超出 API 端點並進入底層有效負載的情況下才有可能,因此可以充分保護敏感數據。
“每個與 API 相關的安全事件的根源都是數據,
”Triebes 補充道。“保護 API 需要轉變思維方式;一種專注於對數據進行分類並了解生產中每個 API 如何訪問數據的方法。
這種方法需要安全和開發團隊共同努力,將安全嵌入到開發生命週期中。
在那之前,網絡犯罪分子將繼續利用易受攻擊的 API 來大量洩露敏感數據。”