ESG 研究报告：保护企业的 API 攻击面

2023年5月Melinda Marks，高级分析师 研究目标 利用微服务架构的Web、移动和云端应用程序日渐普及，促使各行各业的组织提高了生产率、创新能力和客户服务水平。但与此同时，连接应用程序组件和资源的API数量也在日益增多。众多组织将API视为云原生堆栈中最容易受到攻击的元素，而在过去12个月中，不安全的API引发的攻击是云原生应用程序开发方面最常见的网络安全事件。随着API数量不断增长，安全风险也在加剧。 因此，组织需要有效的API安全解决方案来降低云原生开发扩展带来的风险，并帮助其团队发现、管理、配置、监控和保护其API，从而跟上现代软件开发的步伐。为了进一步探索这些趋势，TechTarget旗下的Enterprise Strategy Group (ESG)邀请北美（包括美国和加拿大）组织机构中负责评估或采购云安全技术产品和服务的397位IT、网络安全和应用程序开发专业人员参与了调查。 本项研究旨在： 验证与云采用和数字变革相关的API使用情况和增长模式。 审视现行API安全方法及其有效性。 确定提高API安全性的最佳实践。 突显安全团队在保护其API安全方面的挑战。 网络安全现代化是应用程序开发现代化的必要条件 API安全事件普遍存在，造成了诸多挑战和缺陷 API的增长引起安全风险级别急剧提高 主要研究结论 瑭13页 瑭4页 瑭8页 点击以查看详情 制定有效的API安全策略需要用到各种工具，也需要开发人员的参与 组织机构致力于加强API安全态势，并为此而投资 研究方法和基本统计数据 瑭27页 第31页 瑭20页 网络安全现代化是应用程序开发现代化的必要条件 业务应用程序的数字变革 组织机构日渐将其生产负载迁移到公有云平台。借助云服务提供商(CSP)和微服务应用程序架构提供的先进技术和服务，他们可以更快速、有效地构建和部署应用程序，从而更好地为员工、合作伙伴和客户服务。 |在公有云基础架构服务上运行的生产负载所占百分比。 当前在公有云基础架构服务上运行的生产负载所占百分比从现在起的24个月内，在公有云基础架构服务上运行的生产负载所占百分比 |使用DevOps实现代码和基础架构的CI/CD自动化。 我们采用了DevOps，但比较有限31% 提高开发人员的效率以加快发布速度 |开发人员和/或DevOps团队将新版本交付到生产环境的频率。 组织机构还在利用DevOps方法实现应用程序的持续集成和持续部署(CI/CD)。这让开发人员能够配置自己的云基础架构，通过CI/CD渠道开展协作以高效构建应用程序，并将其部署到云中。如今，许多组织每天都会发布新的内部版本，开发人员希望提高发布频率，而这造成了安全机制难以跟上快速开发步调的难题。 他们需要在不拖慢运营工作的前提下，想方设法将安全性融入开发流程。”“ - Melinda Marks，高级分析师 关于整合安全性以跟上发布速度的难题 |更快的CI/CD开发周期带来安全挑战。 云原生应用程序开发带来了效率和生产力优势，但也给安全团队造成了挑战，他们需要获得必要的控制力，确保所部署的应用程序安全无忧。除了指出生产用内部版本在部署时存在安全问题外，许多组织还表示，其安全团队对开发流程缺乏了解，并且（或者）开发人员会跳过安全流程。 他们需要在不拖慢运营工作的前提下，设法将安全性融入开发流程。 API的增长引起安全风险级别急剧提高 目前有超过三分之一的组织表示，他们的所有应用程序都在使用API......预计采用这种做法的组织在未来两年将增长到50%。”“ 使用API的应用程序比例不断增加 随着基于微服务的应用程序云原生开发不断发展，这些应用程序需要通过API来访问服务、数据或其他应用程序。开发人员创建的应用程序愈加复杂，这也可能促成API数量的增加。事实上，目前有超过三分之一的组织表示，他们的所有应用程序都在使用API，预计采用这种做法的组织在未来两年将增长到50%。 |使用API的云原生应用程序比例。 目前使用API的云应用程序比例（样本量= 375）从现在起24个月内使用API的云应用程序比例（样本量= 397）18+15+67O44+32+24O 每个应用程序大量使用API造成安全风险 超过四分之三(76%)的组织表示，他们为每个应用程序平均部署了26个API。很高比例的组织正在将开放式API用于公共用途，将应用程序与合作伙伴衔接，并连接到微服务。安全团队需要确保每个连接都安全无虞，以保障他们的关键业务驱动因素——保持应用程序正常工作并安全无忧。 开放式API用于公共用途 API更新频率 除了面临API数量急剧增多及其相关连接类型带来的风险之外，安全团队还面临着难以跟上API更新速度的挑战。超过三分之一(35%)的组织每天都会发布更新，另有40%的组织每周发布更新。 超过三分之一(35%)的组织每天都会发布更新。”“ API风险暴露与连接 对于构建可用来调用其他服务、应用程序或数据的现代应用程序，API意义非凡。每一个因连接方式或暴露问题而不够安全的API或其更新都会增加攻击面。虽然大多数应用程序都使用API，但大多数组织面向互联网的API比例并不高。这表明许多API都面向内部，可能用于连接多个微服务。较高比例的API用于将应用程序连接到其他应用程序。这反映出共享开放式API以进行集成的趋势日益明显，集成对象不一而足，包括公司内部部门、外部第三方开发人员或业务合作伙伴，目的是连接应用程序，实现更丰富的功能。数据还表明，组织认识到API流量在云/互联网流量中所占的比例不断增长，突显出API安全在其网络安全策略中的重要性。 API安全事件普遍存在，造成了诸多挑战和缺陷 源自不安全API的安全事件 随着API数量的不断增加，组织机构在过去12个月中遭遇了与不安全API相关的安全事件。尽管已有多种解决API安全问题的产品，但在去年，有超过半数(57%)的组织遇到过多次安全事件，35%的组织遇到过一次安全事件。 API安全事件的类型及其影响 API的日渐增长给企业带来了广泛的攻击风险，因此安全团队需要行之有效的方法来管理安全风险。组织机构因不安全API而遭遇的安全事件不一而足，包括帐户接管、服务拒绝攻击和数据泄露。这些攻击可能会给组织造成严重影响，导致他们无法保障应用程序安全性的主要驱动因素，从而损害应用程序正常运行、客户服务和成本管理。 安全解决方案无法彻底杜绝攻击 近四分之三(74%)的组织认为，他们拥有可靠的API安全计划，并为API安全性制定了保护流程和控制措施。他们有多种Web应用程序保护工具，包括API安全工具、Web应用程序防火墙(WAF)和API网关，以及分布式DoS攻击抵御和爬虫程序管理解决方案。 主要的API安全挑战 尽管拥有可靠的API安全计划，并且已部署多种工具，但组织在应用程序安全方面仍然面临诸多挑战。这些挑战包括对多种工具进行管理，以及对随着云原生开发而快速扩展的各种元素获得可见性和控制力。组织需要建立管理清单以便一致地实施安全流程和政策，而对API而言，建立清单尤为困难。 |组织机构在API安全方面面临的最大挑战29+71+S 对API部署缺乏控制力/可见性28% API规范的采用不一致27% 27% 使用多种API管理工具 准确清点我们的应用程序使用的第三方API 查找和修复配置不当的API26% 及时跟进以我们的API为目标的威胁26% API不安全导致数据治理和/或数据暴露问题26% 27% 支持开发人员在部署应用程序之前执行API安全测试 21% 24% 25% API可能会暴露敏感数据 准确清点我们组织中使用的API API安全顾虑 随着API数量持续增加，安全问题层出不穷，认识到这种情况的组织迫切需要解决这些顾虑，以有效管理云安全风险。最主要的顾虑在于身份验证，这令人担忧，因为任何连接都需要有效的身份验证才能确保安全。此外还存在许多可见性顾虑，包括识别和跟踪API、发现影子API和僵尸API。这些顾虑突出表明，组织需要找到更好的方法来确保API的安全。 |最令人担忧的API漏洞类型 API漏洞普遍令人担忧 基于属性的访问控制漏洞31% API业务逻辑缺陷31% 敏感数据暴露34% API会连接到其他服务、应用程序和数据，它在现代应用程序中发挥着至关重要的作用，因此也非常容易成为多种攻击的目标。 代码注入攻击29% 特权升级攻击28% 分布式拒绝服务攻击30% 组织担心API的各种安全隐患，担心这可能导致其遭受严重攻击，包括敏感数据暴露、访问控制漏洞和API业务逻辑缺陷。 中间人攻击27% 跨站点请求伪造攻击23% 参数篡改26% 制定有效的API安全策略需要用到各种工具，也需要开发人员的参与 修复效率亟待提高 为保证安全机制能够应对不断增长的API规模和速度，他们需要工具来帮助实现高效修复，从而快速应对漏洞。数据显示，超过三分之二的组织可在一天内作出响应，39%的组织表示他们能在几小时内作出响应。在安全漏洞造成敏感数据暴露时，这样的时间非常宝贵。 数据还表明，组织在保护敏感数据方面更多地依赖手动测试和审查，而非自动报警。随着组织规模不断扩大，产品发布不断增多，为应用程序添加功能和服务的API也越来越多，但这种做法难以为继。安全团队需要减少繁琐的手动任务，也需要能够自动发出警报的解决方案，以推动采取高效行动，修复导致他们面临风险的漏洞。 保护API攻击面保护API攻击面 关键API安全功能 组织希望找到拥有全面功能组合的API安全解决方案，并选出了自身认为“重要”或“非常重要”的多种功能。许多重要功能都与前文提到的安全顾虑息息相关，包括识别和跟踪API、API身份验证，以及阻止攻击或过大流量的方法。受访者认为，API安全产品中一项非常重要的功能是确定涉及到敏感数据的API，这有助于提供背景信息，以便合理划分行动优先级，采取更好的保护措施。 关于发现和跟踪流程及工具的有效性 API的清点和发现是切实有效的API安全计划的基石。许多组织都使用API网关、API安全工具和CI/CD工具的某种组合，大多数组织认为它们在API发现和跟踪方面基本有效。值得注意的是，尽管他们使用多种工具，但也认为人工发现和跟踪基本有效。 许多组织都使用“ API网关、API安全工具和CI/CD工具的某种组合。” 使用应用程序安全工具修复API代码 近一半 在修复API编码问题方面，组织通常使用多种应用程序安全工具，包括测试工具、运行时应用程序自我保护、运行时评估工具和API规范符合性工具。与发现和跟踪API工具和流程一样，受访者大多将这些工具评为完全有效或基本有效，近半数的受访者将iAST工具视为“完全有效”。 受访者将iAST工具视为完全有效。 工具在阻止或拦截攻击方面的有效性 组织还在使用大量工具来阻止或拦截对API的攻击。就其有效性而言，与其他保护API安全的工具和流程一样，大多数受访者认为Web应用程序和API保护(WAAP)、Web应用程序防火墙(WAF)和运行时应用程序自我保护(RASP)等工具基本有效或完全有效。 组织在使用大量工具来阻止或拦截对API的攻击。”“ 加强安全与开发团队之间的合作 89% 为了降低风险，在部署API之前，安全团队应该参与保护API安全。半数以上(54%)负责保护API安全的团队在发布API之时或之前参与了开发工作，因此仍有很大的改进空间。但令人欣慰的是，组织认为具有良好(22%)或较高(71%) API安全知识水平的开发人员比例较高。总体而言，89%的组织为其开发团队提供正式的API安全培训，其中96%的组织表示，其开发人员非常了解API风险。 的组织为其开发团队提供正式的API安全培训。 根据开发团队的API安全风险知识，向开发团队提供正式API安全培训的组织所占百分比 API发布之时或