2024年網(wǎng)絡(luò)安全：API成為新戰(zhàn)場(chǎng)？

鑒于數(shù)據(jù)交換的迅猛速度，API的應(yīng)用率始終保持領(lǐng)先。各機(jī)構(gòu)紛紛轉(zhuǎn)向數(shù)字化及更為彈性的策略，以助力全球新冠疫情后的經(jīng)濟(jì)復(fù)蘇。然而，新科技的推廣同時(shí)也擴(kuò)大了企業(yè)遭受攻擊的機(jī)率。

本文將深入剖析API是否有望成為2024年網(wǎng)絡(luò)安全領(lǐng)域的新焦點(diǎn)，以及各組織所面臨的挑戰(zhàn)及其潛在風(fēng)險(xiǎn)的緩解措施。

什么是 API？

API（應(yīng)用程序編程接口）是一組協(xié)議和定義，用于幫助構(gòu)建和集成軟件應(yīng)用程序。API 的主要功能是幫助新產(chǎn)品更好地與其他產(chǎn)品和在線服務(wù)進(jìn)行通信，而無需了解其架構(gòu)或?qū)崿F(xiàn)方式。這有助于簡(jiǎn)化應(yīng)用程序開發(fā)流程，使其更快、更具成本效益。

無論開發(fā)人員是創(chuàng)建新產(chǎn)品還是管理現(xiàn)有軟件，API 都能為改進(jìn)設(shè)計(jì)、創(chuàng)新和改善管理提供更大的靈活性。它們以合同為基礎(chǔ)，當(dāng)兩方達(dá)成協(xié)議以整合其服務(wù)時(shí)，就會(huì)提供相關(guān)文檔。

API 的好處

API 可幫助許多行業(yè)的組織提高創(chuàng)新能力和數(shù)字化水平，從而讓他們比競(jìng)爭(zhēng)對(duì)手更具優(yōu)勢(shì)。許多企業(yè)主認(rèn)為 API 是其整體增長(zhǎng)戰(zhàn)略中的關(guān)鍵要素，可幫助他們：

• 改善客戶體驗(yàn)
• 簡(jiǎn)化運(yùn)營(yíng)，實(shí)現(xiàn)更敏捷的方法
• 制定簡(jiǎn)單、快捷的“進(jìn)入市場(chǎng)”策略
• 瞄準(zhǔn)新市場(chǎng)和渠道，開拓新的收入來源

API 及其網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

管理、識(shí)別、分類和保護(hù)?API?庫(kù)存對(duì)許多企業(yè)來說都是一項(xiàng)挑戰(zhàn)。依賴缺乏適當(dāng)治理和標(biāo)準(zhǔn)化的運(yùn)營(yíng)框架也使這項(xiàng)任務(wù)變得更加困難。

這為以 API 為目標(biāo)的威脅者提供了機(jī)會(huì)，使他們可以實(shí)施一系列欺詐活動(dòng)并獲取敏感數(shù)據(jù)，例如企業(yè)的運(yùn)營(yíng)信息和與客戶相關(guān)的個(gè)人身份信息 (PII)。特別是，API 的強(qiáng)勁增長(zhǎng)導(dǎo)致網(wǎng)絡(luò)犯罪分子竊取客戶或業(yè)務(wù)關(guān)鍵數(shù)據(jù)的情況有所增加。

為了降低這些風(fēng)險(xiǎn)，組織正在轉(zhuǎn)向 SecOps 團(tuán)隊(duì)來幫助與?DevOps?合作并實(shí)施必要的網(wǎng)絡(luò)安全措施。

什么是 SecOps？

安全運(yùn)營(yíng) (SecOps)是 IT 安全團(tuán)隊(duì)和運(yùn)營(yíng)團(tuán)隊(duì)之間的紐帶，它集成了一系列工具、流程和技術(shù)，以最大限度地降低業(yè)務(wù)各個(gè)領(lǐng)域的安全風(fēng)險(xiǎn)。如果沒有這種聯(lián)系，整個(gè)組織的工作可能會(huì)變得支離破碎，團(tuán)隊(duì)會(huì)使用各種不同的軟件和工具，這可能會(huì)導(dǎo)致效率低下、缺乏可見性和控制力。

SecOps 可實(shí)現(xiàn)安全與 IT 運(yùn)營(yíng)之間的更好協(xié)作，在維護(hù)組織的數(shù)字環(huán)境和提高生產(chǎn)力方面分擔(dān)責(zé)任。這種主動(dòng)方法和定期的信息共享使識(shí)別整個(gè)組織的安全風(fēng)險(xiǎn)變得更加容易，因此可以盡快解決這些風(fēng)險(xiǎn)，而不會(huì)對(duì) IT 功能產(chǎn)生任何重大影響。

2024 年 API 安全預(yù)測(cè)

近年來，許多組織更加重視使用?API?來提供更多靈活性和促進(jìn)增長(zhǎng)，而不是實(shí)施足夠的安全性。然而，2024 年很可能是組織大幅加大努力降低這些風(fēng)險(xiǎn)的一年。

近年來，組織遇到的關(guān)鍵問題是缺乏發(fā)現(xiàn)新漏洞的自動(dòng)化，以及庫(kù)存管理、驗(yàn)證和安全性不足。在某些情況下，組織不知道正在使用的 API 數(shù)量，從而使它們?nèi)菀资艿焦簟?/p>

黑客積極地將 API 作為進(jìn)入組織網(wǎng)絡(luò)的主要入口點(diǎn)，從而允許他們?cè)L問和竊取數(shù)據(jù)，并實(shí)施一系列欺詐行為，例如在暗網(wǎng)上出售財(cái)務(wù)詳細(xì)信息。

現(xiàn)在已經(jīng)進(jìn)入新的一年的四分之一，以下是有關(guān) 2024 年剩余時(shí)間內(nèi)?API 安全性將如何變化的 6 個(gè)預(yù)測(cè)。

重大 API 安全漏洞將導(dǎo)致新法規(guī)的出臺(tái)

隨著?API 市場(chǎng)快速增長(zhǎng)，缺乏企業(yè) API 管理將帶來重大威脅。安全漏洞等事件已屢見不鮮，因此監(jiān)管機(jī)構(gòu)正在考慮需要采取哪些措施。

一個(gè)典型的例子是 LinkedIn 官方 API 中的零日漏洞，成功利用該漏洞導(dǎo)致約 7 億用戶的數(shù)據(jù)被抓取。

監(jiān)管變化很難跟上技術(shù)進(jìn)步的步伐，而 API 正是迫切需要增強(qiáng)安全性的市場(chǎng)之一。因此，今年很可能再發(fā)生一次涉及 API 的重大事件，例如針對(duì)金融或公共機(jī)構(gòu)的攻擊，從而迫使監(jiān)管部門采取行動(dòng)。

組織將減少其存儲(chǔ)的數(shù)據(jù)量

近年來，數(shù)據(jù)存儲(chǔ)成本低廉，導(dǎo)致許多組織存儲(chǔ)了過多歷史數(shù)據(jù)，這些數(shù)據(jù)未經(jīng)管理且未得到充分保護(hù)。一些組織存儲(chǔ)了數(shù) PB 的無用數(shù)據(jù)，而這些數(shù)據(jù)可能成為網(wǎng)絡(luò)犯罪分子的目標(biāo)。

即使采取了傳輸控制協(xié)議 (TCP) 等安全措施，歷史數(shù)據(jù)仍然面臨風(fēng)險(xiǎn)，需要嚴(yán)格管理。顯而易見的解決方案是清除任何被視為不必要的數(shù)據(jù)，防止通過不安全的 API 訪問這些數(shù)據(jù)。

醫(yī)療行業(yè)就是一個(gè)需要徹底改革數(shù)據(jù)存儲(chǔ)方式的行業(yè)。使用患者溝通工具直接與患者溝通的醫(yī)院和醫(yī)療診所需要確保滿足某些安全標(biāo)準(zhǔn)，包括使用分析來監(jiān)控用戶活動(dòng)。

API 將受到商業(yè)領(lǐng)袖的更多關(guān)注

2024年，隨著數(shù)據(jù)和客戶保護(hù)的重要性成為熱門話題，預(yù)計(jì)企業(yè)領(lǐng)導(dǎo)者將更加嚴(yán)格地審查API 安全性。

大型組織中的 DevOps 團(tuán)隊(duì)創(chuàng)建了大量 API，其中許多 API 從未面世，有時(shí)被稱為“僵尸 API”。然而，由于缺乏管理，一些被丟棄的 API 并未從系統(tǒng)中刪除，從而成為漏洞。

毫無疑問，API 安全平臺(tái)的實(shí)施將在未來一年加速，因?yàn)槿狈?API 管理和高效流程可能會(huì)損害業(yè)務(wù)運(yùn)營(yíng)，并帶來安全風(fēng)險(xiǎn)。

API 安全將帶來新的創(chuàng)新

API 安全將為實(shí)施新創(chuàng)新提供新機(jī)會(huì)，使首席信息安全官 (CISO) 能夠引入最佳框架、最新工具和最有效的流程來改善企業(yè)運(yùn)營(yíng)。這些解決方案可以包括實(shí)時(shí)攻擊檢測(cè)、自動(dòng)化 AI 和機(jī)器學(xué)習(xí)發(fā)現(xiàn)、更好的 API 管理等。

金融服務(wù)將處于 API 安全的前沿

在實(shí)施新的 API 安全法規(guī)方面，金融服務(wù)有望發(fā)揮帶頭作用，聯(lián)邦金融機(jī)構(gòu)檢查委員會(huì) (FFIEC) 等機(jī)構(gòu)已經(jīng)發(fā)布了有關(guān)加強(qiáng)安全性的指導(dǎo)意見。

預(yù)計(jì)銀行、金融科技和金融服務(wù)領(lǐng)域的更多監(jiān)管機(jī)構(gòu)將更加重視 API 安全，以確保極其寶貴的客戶數(shù)據(jù)得到充分保護(hù)，免受犯罪活動(dòng)的侵害。這些行業(yè)一直是黑客的主要目標(biāo)，除非采取重大行動(dòng)，否則這種情況在未來幾年不太可能改變。

開放銀行業(yè)務(wù)是需要額外關(guān)注的一個(gè)領(lǐng)域，因?yàn)榈谌皆L問財(cái)務(wù)數(shù)據(jù)需要通過 API 來實(shí)現(xiàn)。該領(lǐng)域缺乏安全性，導(dǎo)致十分之一的成年人成為網(wǎng)絡(luò)安全相關(guān)金融欺詐的受害者。

API 安全將決定市場(chǎng)決策

許多組織在決定與哪些第三方開展業(yè)務(wù)時(shí)都會(huì)考慮網(wǎng)絡(luò)安全問題。許多數(shù)據(jù)泄露都是由第三方問題導(dǎo)致的，組織希望確保與其合作的任何企業(yè)都已采取必要的安全措施，包括?API 安全措施。

第三方 API占將組織的應(yīng)用程序連接到數(shù)據(jù)源的所有 API 的 30% 左右。這意味著，與缺乏這方面保障的競(jìng)爭(zhēng)對(duì)手相比，擁有相關(guān)安全措施的第三方更有可能被選中。

總結(jié)

API?的部署正在以驚人的速度增長(zhǎng)，這意味著 SecOps 需要非常努力地實(shí)施必要的安全管理和流程，以防止數(shù)據(jù)泄露。此外，監(jiān)管機(jī)構(gòu)還必須加大力度保護(hù)消費(fèi)者，并發(fā)布可操作的指導(dǎo)方針。

不安全的 API 是網(wǎng)絡(luò)犯罪分子的主要目標(biāo)，尤其是在金融服務(wù)領(lǐng)域，這導(dǎo)致企業(yè)領(lǐng)導(dǎo)者重新評(píng)估其內(nèi)部和第三方 API 的網(wǎng)絡(luò)安全。如果不這樣做，可能會(huì)使整個(gè)組織及其客戶群面臨風(fēng)險(xiǎn)。