现代软件开发的基础正在不断攻击

组织看到针对应用程序编程界面（API）的网络安全攻击的增加，这些机制允许软件组件使用一组规则和协议相互交流和交换数据。问题是，他们是否准备防御这些袭击？

2024年11月的云提供商报告 Akamai技术根据对美国，英国和德国的1200多个IT和网络安全领导人的调查，发现84％的人说他们的组织在过去12个月中曾经历过API安全事件。只有27％的受访者知道哪些API返回攻击者寻求的敏感数据。

研究表明，尽管API攻击正在上升，但对攻击者开门的API风险的可见性正在下降。在美国，金融服务等领域的平均补救API事件成本为591,400美元，平均价格为832,800美元。

研究公司International Data Corp.在一份报告中说，作为现代软件开发的基础，API促进了应用间沟通和燃料数字化转型。 IDC说，此外，智能，人工智能应用程序的爆炸爆炸只会增加API的使用，引入新的威胁。

“威胁参与者从API漏洞利用中获得价值的途径有许多途径，无论是通过侧面渠道进行更深层次的系统访问，还是简单地从事钥匙授予访问权限的服务，”托管托管提供者万神殿。 “随着使用更多的API使用，这是一类脆弱性，它正在增加，并且很可能只会在未来几年就达到步伐。”

Koenig说，最大的API漏洞之一来自试图管理总表面积。他说：“随着API的扩散，公司很容易失去跟踪，就像有多少努力追踪其网络投资组合一样。”

结果，公司无法正确保护API，最终遇到了安全漏洞。

最大的风险之一是可能意外泄漏证书的风险。 Koenig说：“对于开发人员来说，将代码API凭证符合代码非常普遍，这使得凭证更容易被意外披露。” “一旦威胁演员拥有有效的API键，他们就可以开始迅速造成损害。”

网络罪犯知道API弱点并利用了优势。

IDC计划副总裁吉姆·默瑟（Jim Mercer）表示：“ API是应用程序和服务之间数据交换和功能执行的重要渠道，这使得其广泛使用成为恶意演员的诱人目标。”

默瑟说：“使用的API的庞大数量和多样性以及现代软件生态系统的复杂性创造了许多用于开发的入口点。”

Mercer说，随着公司越来越依赖API来促进无缝集成和连接性，确保强大的安全措施对于保护敏感数据并保留数字基础架构的完整性至关重要。

默瑟说：“但是，大多数组织都很难找到使用中的所有API并管理其安全风险。” “至关重要的是要维持具有基于上下文的威胁细节的准确API库存。检测在活动应用程序景观中的API端点提供了一种全面的观点，即静态扫描可能会忽略。”

Mercer说，通过主动确定API库存的意外变化，企业可以抢占阴影或脆弱的API的出现，从而增强整体安全姿势。他说：“这可以通过建立（正常的）API行为基线，并将其与实际活动进行比较以发现潜在的安全漏洞。”

具有良好的API可见性是保护它们的关键。 Koenig说：“无论是您运行的API还是您集成的服务，在数字生态系统中拥有全面的可见性都是一半以上的战斗。” “网络管理工具可以大规模帮助解决此问题，但是通过让团队进行简单的练习来列出其工作中的API，可以具有令人惊讶的价值。”

Koenig说，另一个好的做法是实施门户。他说：“出于相同的原因，将您的网站置于网络应用程序防火墙之后是最佳实践，因此，API网关对于任何一家运营API的组织都是其服务产品的一部分都是必不可少的。”除了阻止不良行为者的安全能力外，大多数门户产品还有助于管理常见的疼痛点，例如减少善于思考但过度疲倦的经理的使用。

Mercer建议公司采用分层的API安全方法，其中包括API设计，测试，库存，网关和高级运行时保护措施。他说，需要在软件开发生命周期中确保API。

培训人员是重要的一步。默瑟说：“提高组织内包括开发人员和安全团队培训在内的API安全的认识，以使他们作为一个团队合作以确保您的API。”