今年的“API成熟度曲线”反映了几个重要趋势:
1、行业API的应用与发展正在不断向前,包括金融API、开放银行API、电信API。由于存在一定的开放标准,开放银行的API发展相对领先于其他行业;
2、API安全测试、API访问控制和API威胁防护的成熟度有所提高。这反映了企业对API安全性的持续需求,以及API安全工具及技术实践逐渐成熟;
3、“API的可观测性”是今年API成熟度曲线中的新增内容,反映了API监测与分析的重要性。API的可观测性使得企业及开发人员能清晰看到API增删改减后的影响,及时感知API风险。
由于API通常用于访问各类应用程序,与系统核心数据相关联,容易暴露且难以防御,这造成了巨大且不断增长的攻击面,导致越来越多API攻击及违规行为的出现。
从报告来看,国内外不少企业已经启动API安全管理计划并进行针对性防护,这也意味着越来越多的企业逐渐意识到API威胁防护的重要性。
下面我们将围绕Gartner报告内容,进一步分享“API威胁防护技术”的应用所存在的挑战:
1)许多企业组织的API缺乏可见性
API缺乏可见性导致很多API存在于正常流程和控制之外,这些API没有经过WAF或API网关,又或API分散在多个平台难以被统一管理,容易遭受攻击。
2)许多API安全问题都与业务逻辑有关
API安全产品需要了解业务逻辑并识别异常流量,否则针对业务逻辑威胁的保护很难做到完全自动化。类似WAF、以及一些基于规则而非业务风险特征的安全产品,就无法解决API逻辑攻击问题和未知威胁。
3)API威胁防护不归属于安全团队而容易被忽视
很多企业组织是将API网关交给API平台团队管理,由于缺乏专业的安全知识,以及专注于交付而非安全性,导致API威胁防护被忽视。
针对企业如何更好地管理API、解决API逻辑风险,报告中提出了相应的建议:
用户建议
1)在实施威胁防御之前,发现并分类企业的API资产
正如API趋势中提到的“API可观测性”一样,要求API工具要能够根据API的业务场景、出站数据的敏感度、风险等级等信息对API进行分级分类,全面清晰了解API资产,才能更好地保护API。
2)API 保护规则应根据API业务逻辑进行调整
静态速率限制或 IP黑白名单的策略难以解决海量小号、秒拨代理IP低频攻击等问题。黑产针对API发起的业务逻辑攻击的流量同正常用户的流量是一样的,很难依靠传统基于规则的特征来进行检测。
可见,为更好地应对当前API威胁防护挑战,对当前API产品的技术及能力提出了较高的要求,要求其充分贴合企业API资产、业务逻辑现状,满足API资产梳理、风险感知等需求。
作为中国API安全领域的领先者,威胁猎人推出了国内首个以“情报”能力为基础的API安全管控平台,具备“可视化管理API资产、精准监测API逻辑漏洞、及时发现API未知风险”等价值优势,精准匹配API威胁防护挑战下的用户需求:
1、以API资产为中心,持续、动态梳理API资产,包括及时了解API开放数量、API活跃状态、僵尸API、影子API以及API中流动的敏感数据等情况,并对敏感数据类型进行分级分类,让企业可以非常清晰、量化地知道自己的API资产及其风险。
2、在API资产和数据资产可见的基础之上,借助“情报”持续跟踪攻击者如何利用新型API漏洞进行攻击,包括业务API的逻辑漏洞、开源系统的API未授权漏洞等,及时告警撞库、扫号、数据爬取等攻击风险,提升风险事件的响应速度。
满足了当下一些基于规则特征的产品无法解决海量小号、秒拨代理IP低频攻击等API逻辑攻击问题。
据了解,在“情报驱动”的API安全创新产品和技术优势下,威胁猎人已在银行、证券、保险、互联网、汽车等多个领域落地API安全产品及实践,服务85%的头部互联网企业。
威胁猎人正以API安全领域的优秀表现,助力更多用户实现更安全、更可靠的数字化转型。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...