API经济时代已来临,API已成为业务核心,但API安全风险日益严峻。关键数据表明,80%的业务使用API,每个机构平均使用3300个API,API攻击量月均超25万,45%的数据泄露来自API和Web应用。金融行业2022年Q1数据泄露事件占比高达40.25%,其中3月遭受攻击的API数量达23.7万。
传统应用与现代API应用的架构存在显著差异,API安全需关注OWASP API Top 10等风险点。传统防护手段存在不足,Gartner建议以OAS规范文件为核心对齐API安全,实现研发、运维和安全的统一语言,消除障碍。
以OAS规范为核心的先进安全理念强调:
- 开发阶段:利用OAS规范文件评估、生成和校验,帮助研发开发安全的API。
- 测试阶段:基于OAS文件自动测试,进行模糊测试和渗透测试。
- 运维阶段:持续监控API,梳理敏感接口,利用OAS建立白名单安全模型,通过WAFGW进行安全控制。
Imperva提供的解决方案包括:
- OAS文件安全审核和生成。
- 基于OAS的自动化测试和黑盒测试。
- API治理,定义敏感数据类型,发现包含敏感数据的API接口。
API安全需集成到DevOps流程中,以持续监控应用变化,提前避免bug,保障运行中的应用安全。
