为什么API安全在2024年会成为CISO日益关注的问题

应用程序编程接口 (API) 已成为首席信息安全官 (CISO) 的首要关注点。预计到 2028 年，全球 API 安全市场的价值将达到 30.38 亿美元。企业已部署 API 来集成应用程序、系统和服务，以确保业务流程顺畅并提高运营效率。

随着 API 对业务运营的重要性日益提高，它们也扩大了攻击面，并且仍然是现代 IT 环境中最脆弱的组件之一。如果 API 未得到妥善保护，恶意行为者可能会泄露敏感数据并利用漏洞，从而导致严重的 API 相关漏洞，更不用说失去客户信任和声誉受损。

Imperva 报告称，68% 的组织经历了 API 安全漏洞，损失超过100 万美元。对于 CISO 来说，确保 API 的可用性、机密性和完整性已成为保护组织资产和保持弹性的关键问题。但是，CISO 首先必须意识到 API 带来的挑战，然后实施强大的安全措施来保证 API 的保护。

2024 年最大的 API 安全挑战

虽然 API 是数字增长和创新的支柱，但保护 API 却变得越来越复杂，但至关重要。2024 年，CISO 面临着一系列针对 API 的安全挑战。以下是您需要了解的内容。

API 攻击的威胁

由于 API 使用量呈指数级增长，API 安全漏洞也随之激增。Akamai的一份报告显示，2023 年 1 月至 2023 年 12 月期间，29% 的网络攻击针对 API。这表明 API 是网络犯罪分子的主要关注领域。API 数据泄露的一个典型例子是2021 年的 LinkedIn 数据泄露。在欺骗该公司的 API 后，黑客从 7 亿 LinkedIn 用户那里抓取了数据，然后在网上出售这些信息。

去年的另一起事件中，Trello API 漏洞被曝光，允许将私人电子邮件地址与 Trello 帐户关联。后来，威胁者试图在黑客论坛上出售 1500 万帐户用户的数据。当 API 攻击成功时，它们可以泄露大量客户或员工的数据和知识产权，并对公司造成财务和声誉影响。

API 蔓延

如今，组织拥有大量恶意或僵尸 API，这些 API 不再受到监控或维护，但仍可在系统中访问。当组织转向云或团队开发和部署服务时，API 通常会在没有充分文档的情况下成倍增加，从而导致不安全的API 蔓延。管理不善或未被发现的 API 可能会对组织的安全造成最大的损害。它们扩大了攻击面，并可能提供对应用程序和敏感数据的访问权限，导致过多的数据暴露和泄露。

第三方应用程序集成

统计数据显示 ，超过 80% 的企业在运营中至少使用一款 SaaS 应用程序，而 88% 的企业以某种形式使用云服务。问题是，使用各种第三方服务会扩大攻击面和未经授权的访问尝试的可能性。

第三方 SaaS 应用程序的一个重大问题是它们依赖各种 API 来实现其核心功能。每个 API 都可能存在潜在漏洞，例如缺乏数据加密或适当的基于角色的访问控制机制。黑客可以利用这些漏洞访问或篡改敏感数据、破坏服务或对与 SaaS 平台链接的其他系统进行攻击。

生成式人工智能的出现

一年来影响 API 安全性的另一个领域是生成式 AI 模型的出现，例如 ChatGPT、Microsoft Copilot、Scribe 和 AlphaCode。Gartner报告称，在 2023 年 3 月至 4 月期间调查的 1400 多家组织中，有一半增加了对生成式 AI 的投资。

公司利用这些 AI 平台的原因有很多，例如内容创建、软件开发、客户支持、个性化和用户体验以及风险管理。然而，另一方面，攻击者可以利用 AI 模型中的潜在漏洞，这增加了对安全 API 保护策略的需求。

API 攻击者可以使用生成式 AI 通过网络钓鱼或欺骗策略识别和破解 API 凭据和密钥。这样，他们就可以未经授权访问 API、窃取数据并发起有针对性的攻击。他们还可以使用 AI 功能创建恶意软件或恶意工具，以绕过传统的安全控制并危及业务数据。

缺乏 API 开发经验

另一个潜在的安全风险是缺乏具备 API 开发专业知识的人员。Postman 2023 API 状态报告显示，38% 的 API 开发人员拥有不到两年的 API 开发经验。缺乏经验的 API 开发人员会增加可利用的缺陷、漏洞、性能不佳和集成问题的可能性，这可能会破坏组织的安全态势。

CISO 应采取什么措施？

API 安全攻击可能会导致首席信息安全官 (CISO) 丢掉工作。CISO 必须采取全面的策略，包括程序、技术和教育措施，以避免这种情况的发生。

当组织努力管理 API 蔓延带来的混乱时，实施API 治理策略是控制此问题的最佳方法。API 治理首先要保留所有内部、外部和第三方 API 的清单，这有助于识别和删除僵尸 API。它还应创建监控、控制和版本控制策略。

集成静态应用程序安全测试 (SAST) 和动态应用程序安全测试 (DAST) 工具是 API 治理的一部分，它可以在整个 API 生命周期内监控和测试 API 漏洞。SAST 扫描源代码以尽早发现问题，而 DAST 则分析正在运行的 API 并将其追溯到软件设计中的起源。这些API 安全测试工具共同为保护 API 环境提供了全面的见解。

如上所述，第三方 SaaS 应用程序集成可能会给您的 API 带来安全风险。在将供应商与 API 集成之前，请评估供应商的声誉。此外，确保这些应用程序遵循行业标准安全协议和SaaS 安全最佳实践（如身份验证和授权机制），以防止风险。

更新和修补 API 基础架构也有助于防范未知漏洞和安全配置错误。跟踪安全公告以及供应商的更新，并及时对 API 组件应用补丁。

由于 API 的动态特性使得传统的边界防御不足以提供保护，因此强调使用更先进的 API 安全解决方案至关重要。各种专业的 API 供应商提供有效的解决方案，这些解决方案配备了访问控制、加密、威胁检测和实时监控工具，用于识别漏洞和维护访问控制。CISO 应利用此类解决方案来缓解与 API 相关的漏洞并确保安全的 API 架构。

此外，API 开发和安全方面也存在教育差距。为开发人员提供足够的 API 培训有助于减轻缺乏 API 专业知识带来的风险。培训必须涵盖身份验证、授权、编码、威胁缓解甚至管理 API 蔓延等问题的最佳实践。通过了解常见的安全配置错误和漏洞以及解决它们的方法，开发人员可以构建安全的 API。

提供定期的培训课程、研讨会和资源还可以让 API 开发人员有效地利用生成式 AI 技术，并使他们能够预防其带来的风险。

最后的话

API 已成为现代软件开发的关键，因为它们可以实现数字化转型和创新。然而，由于 API 是可定制的并且处理敏感数据，因此它们成为黑客的主要目标。由于 API 安全威胁将在 2024 年继续以惊人的速度增长，保护它们现在不仅是需要，而且是每个 CISO 必须掌握的必需品。通过采用 API 安全最佳实践，CISO 可以保护他们的 API 免受危及数据完整性的无数威胁。

文章来源：Why API Security Is a Growing Concern for CISOs in 2024