在如今的IT技术架构体系当中,API已成为企业技术架构的关键组成部分。通过连接不同的服务和应用程序,API推动了创新和运营的效率。然而,随着API的普及,它们也成了网络攻击的主要目标。
Akamai大中国区产品市场经理 刘炅
Akamai大中国区产品市场经理刘炅表示,来自Akamai的数据显示,API流量已占互联网总流量的80%以上。值得注意的是,最近一年中,API相关的网络攻击增长了超过287%。这一数据不仅凸显了API在IT技术架构中的主导地位,还表明了互联网安全环境正在迅速恶化。
Akamai还表示,即便企业在处理API漏洞方面表现出色,它们仍然面临着API滥用的严重挑战。这是因为,早期的API安全主要集中于防止攻击者利用API编码或配置漏洞,而现在的API滥用攻击通常不利用这些漏洞,于是,便使得这种滥用更难以被发现。
如何应对API带来的安全威胁?
为了防御日益增长的API滥用威胁,Akamai提出了三项策略。
第一个是拓展对API攻击的思考,这要求企业不仅关注传统的安全漏洞,还要考虑更广泛的API安全威胁,如滥用和恶意行为。
第二个是分析更多有关API的数据,这主要强调了使用数据分析方法来更好地理解和监控API流量的重要性,有助于识别潜在的安全威胁。
第三个是利用API发现滥用行为:这涉及使用先进的监测工具和策略来主动发现并防御针对API的滥用行为,而不仅仅是传统的安全漏洞。
Akamai还认为,零信任架构(ZTA)对于API安全方面至关重要,具体要如何用零信任架构(ZTA)来应对API安全问题呢?Akamai的专家总结了7点。
首先是要能持续API发现,能定期识别和记录所有使用的API,确保对现有和新出现的API有较为全面了解。
要能管理未批准的API,当发现未经授权的API时,能迅速采取行动,要么纳入监管范围,要么直接移除,以减少安全风险。
要进行API身份的验证和授权。无论API是公开的还是私有的,都要实施严格的身份验证和访问控制,确保只有授权用户可以访问。
主动识别API漏洞。从2023年常见的OWASP API安全威胁Top 10中应该意识到,应该将主动识别API漏洞作为一项持续的学科。
分析API流量数据。通过开发工具来分析大量API流量,建立正常行为的基准,从而更好地检测异常行为。
整合威胁情报和信任洞察。在集成API的同时,还应该将威胁分析和信任评估结果也输入到零信任策略当中,从而增强安全防护能力。
最后,还要能自动响应API威胁。在检测到API漏洞、威胁或API滥用行为时,自动启动预设的响应措施,迅速缓解安全事件。
Akamai创新应对API安全威胁
如今的安全领域,正在从原本众多分散的安全系统,向XDR(扩展检测和响应)演变。XDR可以整合多种安全工具,提供统一的网络安全管理,涵盖各种层面。它增强了对威胁的检测、预防和响应能力,能帮助安全团队更高效地处理安全威胁。
Akamai认为,XDR的能力可以有效应用于API安全问题。通过利用XDR的行为分析和威胁搜寻技术,可以更有效地监测和识别API安全风险,如异常行为和潜在威胁。这种做法可以提升对API的保护,确保更高效的安全监控和响应机制。
为此,Akamai提供了一个叫API Security ShadowHunt的托管式威胁搜寻服务,它集成了XDR原则,可以实现持续的API发现和风险评估。
API Security 平台提供全面的 API 安全功能,其中包括,广泛而持续的API 发现能力,可以提高对API 风险状况的了解程度。它会利用大数据和基于云的分析引擎,检查一段时间内的所有 API 活动,持续检测 API 滥用情况。
API Security
ShadowHunt 首先会分析 API Security 平台中的 API 活动数据。自动分析操作能够检测行为偏差,它会利用机器学习技术来获得一些洞察,这些洞察会交给专业的分析师,分析师识别威胁后发出告警。分析师和 API Security 研究团队还会定期提供新兴威胁报告。
API Security
ShadowHunt非常适合人手不足,或者缺乏 API 安全专业知识的团队。作为一项威胁搜寻服务服务,它能够帮助企业的安全团队检测并报告 API 流量中难以发现的安全威胁。
CDN加速、云计算和安全是Akamai三大业务方向,在安全方面,Akamai通过三个核心方面来保护客户体验、系统和数据。
首先,利用零信任安全策略,防止攻击进展和横向移动,加速合规性并保护应用程序和工作负载。其次,在应用程序和API安全性,保护企业的在线业务,可以防止恶意活动和欺诈。最后,它可以保护基础设施,提高业务的连续性。
Akamai通过广泛的解决方案组合,在全球范围内,为很多用户提供安全服务,在API安全方面,Akamai有很多研究心得。
Akamai对于企业应对API安全的8个建议
在《API 安全 8 个注意事项》白皮书中,Akamai给企业在应对API安全问题时,提出了8个建议。
首先,应该努力实现完整的API可见性。持续发现和监控API对保护至关重要。这一点在上文中也有提到。
第二点,Akamai让企业不要害怕云计算,而是应该利用云计算的能力对API流量进行有效的行为分析。
第三点,务必将业务环境作为企业的战略核心。应该在理解业务背景的基础上,来识别和响应API的安全风险。
第四点,不要让数据单向流动。确保告警数据可以与安全监控和IT工作流程工具互动。安全信息不仅要能被记录,还应该用来激活响应机制、改进策略或调整防护措施。
第五点,应该优先考虑跨部门合作。鼓励在API设计、开发和部署过程中团队间的合作。
第六点,不要忽视第三方API。注意第三方API的风险,并确保它们是安全策略的一部分。
第七点,不要仅仅关注警报发生后的事情,而是应该主动进行威胁搜寻,应该尽可能主动作为,而不是被动响应。
最后一点,应该将API安全视为一个持续的动作,在整个生命周期中集成API测试,从而尽早识别漏洞。
这些建议共同构成了一个全面的API安全策略框架,可以帮助企业更好地理解、监控和保护自己的API,帮助企业更好地应对日益复杂的网络安全挑战。
结束语
总而言之,API安全是确保企业技术架构完整性和数据安全的关键环节。随着API攻击的增加和安全形势的复杂化,企业需要充分了解API安全并做出应对。通过不断的学习、适应和创新,企业可以更好地应对这些挑战,为数字化转型提供安全保障。
