解析2024年Gartner® API保护市场指南

API 对于现代数字企业至关重要，因为它们允许不同的软件系统无缝通信和交换数据，并且是构建现代应用程序的基础。然而，由于 API 被广泛使用，因此也容易受到网络攻击。为了应对这一日益严重的威胁，组织越来越多地转向 API 保护解决方案来保护其宝贵的数据并确保业务运营不中断。

Gartner 2024 年 API 保护市场指南提供了有关 API 安全性的宝贵见解，包括主要趋势、挑战和对安全领导者的建议。Gartner 指出，API 安全性是组织关注的重点，并表示“根据 2024 年 Gartner API 战略调查，37% 的受访者认为安全性是他们面临的最大挑战之一。”

也许更令人担忧的是，“目前的数据表明，平均 API 漏洞导致的数据泄露至少是平均安全漏洞的 10 倍。” 

在这篇博文中，我们将研究报告的调查结果，重点关注强大的 API 安全措施的重要性。

Gartner 建议：

Gartner 强调，API“尤其是影子 API 和休眠 API 正在导致组织中数据泄露，其严重程度平均超过其他泄露。”安全领导者需要额外的安全功能来保护他们的 API，而不仅仅是基本但必要的安全策略实施，例如速率限制、令牌验证、会话管理和传输安全——“特别是在对安全性要求较高的垂直行业。”

Gartner 分析师表示，“开始使用 API 保护产品来发现和分类组织的 API。识别公开暴露并提供敏感数据访问权限的关键 API。对已清点的 API 执行持续的安全态势管理评估，以识别并提供建议来修复其潜在风险。” 专门的 API 保护解决方案至关重要，尤其是在对安全要求严格的行业，例如金融服务、医疗保健和政府。

Gartner 的报告图表概述了 API 保护工具与 API 生态系统的集成位置，下面的描述涵盖了 API 发现、API 态势管理和 API 运行时保护的主要领域。  

1. API 发现： “API 保护产品会自动识别并创建组织已生成或正在使用的 API 清单。安全领导者经常提到，这项练习的主要目标是识别休眠（也称为“僵尸”）和影子（也称为“流氓”）API。这两种类型的 API 都是有问题的，因为它们对组织不可见，因此不遵守组织的安全策略。”
2. API 安全态势管理： “API 保护产品评估库存 API 是否存在配置错误或不安全的实施。例如，API 可能在 URL 中显示敏感数据，或者在未经身份验证的情况下返回敏感数据。许多最常见的问题都可以在 OWASP API 安全 Top 10 列表中找到。5 款工具还能够创建符合各种法规的报告。”
3. API 运行时保护： “运行时保护侧重于识别表明运行时 API 被恶意使用的行为模式。例如，攻击者的传入请求要求获取某个帐户的数据，而该帐户的号码与 API 客户端经过身份验证的帐户不匹配。异常检测引擎通常使用类似攻击的数据集进行训练，并能够识别该攻击。”

该报告的几个亮点如下：

• 96% 的受访者愿意推荐 Salt Security 作为 API 保护工具
• Salt Security 的五星评价数量最多，达到 77%
• Salt Security 凭借整体体验和用户兴趣及采用率荣获“客户选择奖”

获取您自己的报告“Gartner 报告 – API 保护工具的客户之声”副本。

由于 API 在数字化转型中继续发挥着关键作用，因此必须优先考虑其安全性并防止“导致泄露的数据量至少比平均安全漏洞多 10 倍”的漏洞。

Gartner API 保护市场指南是安全领导者的宝贵资源，强调了强大的 API 安全措施的重要性。Salt Security 的 API 保护平台符合 Gartner 的建议，为组织提供保护 API 和保护这些关键资产所需的工具和功能。

原文链接：A Salt Security Perspective on the 2024 Gartner® Market Guide for API Protection