API安全已成绝大多数企业的严重问题

最近发布的一份研究报告具体阐述了为什么应用编程接口（API）安全成为了绝大多数企业的严重问题。

最近，Cloudentity就API安全相关问题针对300名IT决策者进行了调查研究。研究结果表明，因自身API环境安全问题而导致新应用和服务增强延迟发布的问题，几乎所有企业（97%）都经历过。近半数受访企业（44%）表示，曾经经历过涉数据泄露和隐私信息暴露的重大API安全问题。

Cloudentity联合创始人兼首席安全官Nathanael Coffing称，“报告中最令人惊讶的发现，是这个问题的普遍性，以及企业对此束手无策的现状”。

他表示，与API安全相关的经济损失、快速应用交付时间线和缺乏安全意识等因素，都在影响企业在自身环境中保护API使用安全的能力。

Coffing指出：“仅2%的受访者对自家企业减少API数据安全问题的能力非常自信，认为自家企业完全有能力解决非授权访问、数据隐私和合规风险等问题。” 

因此，93%的受访者称计划增加API安全预算和资源，其中64%表示将增加15%之多。研究发现，增加的API安全开支将主要用于实现零信任控制措施、启用策略即代码，以及更好地管理隐私同意。

近年来，应用现代化工作和数字转型计划导致API使用暴增。API可使应用和服务在内部和外部网络上相互通信。对开发人员而言，API可以减少很多集成工作，避免花费更多精力处理不同应用间的通信。在无网不生活的现代世界，几乎所有企业都采用API作为连接内部应用和数据与用户和合作伙伴的桥梁。但由于很多企业没有足够重视安全，敏感数据和应用逻辑就通过API暴露在了攻击者眼前。不出所料，API近年来成为了攻击者越来越瞩目的高价值的目标。

今年早些时候，Salt Security进行的调查显示，过去12个月里，其客户群的API使用增长了两倍，从2020年7月的每个企业平均28个API，增长到2021年6月的每企业89个API。六个月间，这家安全供应商见证了每客户平均API调用量从去年12月的1.95亿次，飙升至2021年6月的4.7亿次。同一时段内，恶意使用API的尝试次数从平均每月273万次，增加到了1222万次。

与Cloudentity的研究结果类似，Salt Security的调查同样反映出，过去12个月里，几乎每家企业都经历过API安全事件。其中11%每个月经历的API攻击数量超过500次。

Cloudentity的研究揭示，44%的企业经历了重大API授权问题，这些问题涉及侵犯隐私、数据泄露或者面向内部和/或外部的API导致的其他暴露。Coffing表示，如今的应用由内部开发的API、合作伙伴API和第三方SaaS平台API组成，而且通常情况下，这些API提供有限的身份验证、授权和数据保护功能。

“最普遍的例子之一是受损的对象级授权。”

这类漏洞的表现是，应用无法正确验证发出请求的用户是否具有做出此请求所需的权限。由于该问题在API中十分普遍，开放Web应用安全项目（OWASP）已将其列入顶级API漏洞行列。 

Coffing称：“在过去一个月中，受损的对象级授权漏洞暴露了数千万条用户记录及其相关的个人身份信息。” 他指出，该漏洞导致企业会违反现有的隐私法，例如《通用数据保护条例》（GDPR）和《加州消费者隐私法案》（CCPA）。

一个复杂的问题

API相关风险的主要成因之一是组件驱动的应用开发复杂性。Cloudentity发现，由于存在数据沿袭漏洞，很多企业都在诊断或监测API安全问题方面遇到了困难。另一个常见问题是缺乏API安全管理策略一致性。比如说，在Cloudentity的调查中，85%的受访企业其API策略管理是分散的。

Coffing称：“由于API的普遍性和分布式应用的出现，以及为这些API启用的多个应用平台（例如多云、多API网关和多Kubernetes集群），API安全问题变得更加难以解决。”

他说，API级零信任应该是任何API安全计划的最终目标。

“零信任意味着对服务进行身份验证、对请求者进行身份验证、对客户端进行身份验证，然后授权和审核网上流过的每个数据元素。”