API将成为2024年网络安全的新战场?

由于数据交换速度惊人，API 的采用率持续居高不下。各组织已转向数字化和更灵活的解决方案，以帮助在全球疫情后实现复苏；然而，新技术的部署也增加了企业的攻击面。

在本文中，我们将探讨 API 是否会成为2024 年新的网络安全战场、组织面临的挑战以及这些风险是否可以得到减轻。

什么是 API？

API（应用程序编程接口）是一组协议和定义，用于帮助构建和集成软件应用程序。API 的主要功能是帮助新产品更好地与其他产品和在线服务进行通信，而无需了解其架构或实现方式。这有助于简化应用程序开发流程，使其更快、更具成本效益。

无论开发人员是创建新产品还是管理现有软件，API 都能为改进设计、创新和改善管理提供更大的灵活性。它们以合同为基础，当两方达成协议以整合其服务时，就会提供相关文档。

API 的好处

API 可帮助许多行业的组织提高创新能力和数字化水平，从而让他们比竞争对手更具优势。许多企业主认为 API 是其整体增长战略中的关键要素，可帮助他们：

• 改善客户体验
• 简化运营，实现更敏捷的方法
• 制定简单、快捷的“进入市场”策略
• 瞄准新市场和渠道，开拓新的收入来源

API 及其网络安全风险

管理、识别、分类和保护 API 库存对许多企业来说都是一项挑战。依赖缺乏适当治理和标准化的运营框架也使这项任务变得更加困难。

这为以 API 为目标的威胁者提供了机会，使他们可以实施一系列欺诈活动并获取敏感数据，例如企业的运营信息和与客户相关的个人身份信息 (PII)。特别是，API 的强劲增长导致网络犯罪分子窃取客户或业务关键数据的情况有所增加。

为了降低这些风险，组织正在转向 SecOps 团队来帮助与 DevOps 合作并实施必要的网络安全措施。

什么是 SecOps？

安全运营 (SecOps)是 IT 安全团队和运营团队之间的纽带，它集成了一系列工具、流程和技术，以最大限度地降低业务各个领域的安全风险。如果没有这种联系，整个组织的工作可能会变得支离破碎，团队会使用各种不同的软件和工具，这可能会导致效率低下、缺乏可见性和控制力。

SecOps 可实现安全与 IT 运营之间的更好协作，在维护组织的数字环境和提高生产力方面分担责任。这种主动方法和定期的信息共享使识别整个组织的安全风险变得更加容易，因此可以尽快解决这些风险，而不会对 IT 功能产生任何重大影响。

2024 年 API 安全预测

近年来，许多组织更加重视使用 API 来提供更多灵活性和促进增长，而不是实施足够的安全性。然而，2024 年很可能是组织大幅加大努力降低这些风险的一年。

近年来，组织遇到的关键问题是缺乏发现新漏洞的自动化，以及库存管理、验证和安全性不足。在某些情况下，组织不知道正在使用的 API 数量，从而使它们容易受到攻击。

黑客积极地将 API 作为进入组织网络的主要入口点，从而允许他们访问和窃取数据，并实施一系列欺诈行为，例如在暗网上出售财务详细信息。

现在已经进入新的一年的四分之一，以下是有关 2024 年剩余时间内 API 安全性将如何变化的 6 个预测。

重大 API 安全漏洞将导致新法规的出台

随着 API 市场快速增长，缺乏企业 API 管理将带来重大威胁。安全漏洞等事件已屡见不鲜，因此监管机构正在考虑需要采取哪些措施。

一个典型的例子是 LinkedIn 官方 API 中的零日漏洞，成功利用该漏洞导致约 7 亿用户的数据被抓取。

监管变化很难跟上技术进步的步伐，而 API 正是迫切需要增强安全性的市场之一。因此，今年很可能再发生一次涉及 API 的重大事件，例如针对金融或公共机构的攻击，从而迫使监管部门采取行动。

组织将减少其存储的数据量

近年来，数据存储成本低廉，导致许多组织存储了过多历史数据，这些数据未经管理且未得到充分保护。一些组织存储了数 PB 的无用数据，而这些数据可能成为网络犯罪分子的目标。

即使采取了传输控制协议 (TCP) 等安全措施，历史数据仍然面临风险，需要严格管理。显而易见的解决方案是清除任何被视为不必要的数据，防止通过不安全的 API 访问这些数据。

医疗行业就是一个需要彻底改革数据存储方式的行业。使用患者沟通工具直接与患者沟通的医院和医疗诊所需要确保满足某些安全标准，包括使用分析来监控用户活动。

API 将受到商业领袖的更多关注

2024年，随着数据和客户保护的重要性成为热门话题，预计企业领导者将更加严格地审查API 安全性。

大型组织中的 DevOps 团队创建了大量 API，其中许多 API 从未面世，有时被称为“僵尸 API”。然而，由于缺乏管理，一些被丢弃的 API 并未从系统中删除，从而成为漏洞。

毫无疑问，API 安全平台的实施将在未来一年加速，因为缺乏 API 管理和高效流程可能会损害业务运营，并带来安全风险。

API 安全将带来新的创新

API 安全将为实施新创新提供新机会，使首席信息安全官 (CISO) 能够引入最佳框架、最新工具和最有效的流程来改善企业运营。这些解决方案可以包括实时攻击检测、自动化 AI 和机器学习发现、更好的 API 管理等。

金融服务将处于 API 安全的前沿

在实施新的 API 安全法规方面，金融服务有望发挥带头作用，联邦金融机构检查委员会 (FFIEC) 等机构已经发布了有关加强安全性的指导意见。

预计银行、金融科技和金融服务领域的更多监管机构将更加重视 API 安全，以确保极其宝贵的客户数据得到充分保护，免受犯罪活动的侵害。这些行业一直是黑客的主要目标，除非采取重大行动，否则这种情况在未来几年不太可能改变。

开放银行业务是需要额外关注的一个领域，因为第三方访问财务数据需要通过 API 来实现。该领域缺乏安全性，导致十分之一的成年人成为网络安全相关金融欺诈的受害者。

API 安全将决定市场决策

许多组织在决定与哪些第三方开展业务时都会考虑网络安全问题。许多数据泄露都是由第三方问题导致的，组织希望确保与其合作的任何企业都已采取必要的安全措施，包括 API 安全措施。

第三方 API占将组织的应用程序连接到数据源的所有 API 的 30% 左右。这意味着，与缺乏这方面保障的竞争对手相比，拥有相关安全措施的第三方更有可能被选中。

总结

API 的部署正在以惊人的速度增长，这意味着 SecOps 需要非常努力地实施必要的安全管理和流程，以防止数据泄露。此外，监管机构还必须加大力度保护消费者，并发布可操作的指导方针。

不安全的 API 是网络犯罪分子的主要目标，尤其是在金融服务领域，这导致企业领导者重新评估其内部和第三方 API 的网络安全。如果不这样做，可能会使整个组织及其客户群面临风险。

原文链接：Are APIs Becoming 2024’s New Cybersecurity Battleground?