API 安全性：最新数据洞见和主要趋势

API安全性：最新数据洞见和主要趋势 2022年研究报告 API安全性对企业的创新进度有何影响，以及IT主管正在采取哪些措施来降低风险 目录 内容提要 威胁无处不在4影响创新进度5采取积极的API安全保障措施势在必行6 现状评估 充满信心应对安全威胁7信心是否盲目？8企业将积极应对API安全性视为要务8 发展机遇 整合、端到端监控、监督必不可少9这一领域需要更多培训和认证9大多数组织都认同其安全策略需要改进10并非所有组织都将API安全策略视为头等要务11API管理解决方案和API网关解决方案的影响11 API安全性是API宏观策略的关键一环 12 内容提要 随着数字体验的采用率不断攀升，应用编程接口（或称API）的使用也愈加广泛。这使得API成为全球组织在安全方面的一个重要漏洞领域。本报告审视了API安全领域存在的威胁以及这些威胁对创新进度的影响，深入探讨了技术领导者对API安全状况和策略的总体观点，并就组织可以利用哪些机会来提升API安全性提供了思路。 报告基于Google Cloud在2022年5月到6月期间开展的一项调查研究，调查对象为对组织购买API计划相关技术解决方案具有重要影响或决定权的技术主管，他们均来自于至少有1,500名员工的美国公司。 其中，“API安全性是API宏观策略的关键一环”章节中指出，由于威胁无处不在，API安全现状越来越受IT高管的关注，但是大多数组织的API安全策略仍然有待改进。这就需要组织采用主动的安全功能和措施，以及端到端API安全解决方案，比如全生命周期API管理平台“Apigee”。 威胁现状 威胁无处不在 世界各地的公司主要依赖应用编程接口（或称API）来实现数字体验，以及释放自有数据和流程的潜能。API是组织融合专有数据与第三方资产的关键一环。同时它也对于实现应用现代化，助推互操作性，进而打造高效的功能，起着至关重要的作用。 但是，API的普及和日趋重要也给组织带来了风险。作为把守大量信息和系统的门户，API已经成为黑客们趋之若鹜的目标。 我们的研究证实了这些威胁的广泛影响。我们对美国的500多位技术主管开展了一项调查。有半数的技术主管表示，他们在过去12个月内曾遇到过API安全事件。这一比例会因受访对象不同而上下波动。62%受访的企业最高管理层表示，他们在过去12个月内曾遇到过安全事件，而这一比例在其他中级管理层中仅有37%。 这可能说明履行相关职能的IT团队的职权范围有限，也可能揭示了对负有更大责任的高管来说，问题已经表露无疑。或者，两者兼有。 更为严重的是，威胁来自于为数众多的API安全领域，平均每个IT主管都确定了三个以上的领域。虽然没有哪个领域特别突出，但有三个最为常见的潜在威胁来源，分别是安全配置错误、过时的API/数据/组件以及爬虫程序/垃圾邮件/滥用。 配置错误是其中占比最高的一个威胁领域，有五分之二的IT主管选择了安全配置错误或配置有误的API。 影响创新进度 这些威胁和安全事件带来了切实的影响。API安全性正在拖慢许多组织的创新步伐。半数以上(53%)的组织因API安全问题而推迟发布新的服务或应用。在过去12个月内遇到过安全事件的组织中，超过四分之三(77%)的组织推迟了发布其新服务或新应用。 采取积极的API安全保障措施势在必行 在整个开发过程中，会引入来自各种来源的安全漏洞，这无疑导致在API生命周期的每一个阶段（从设计、测试到部署等等）都不乏安全问题的影子。不难想象，作为发布管理流程一环的测试阶段，安全问题在此时最常见(67%)；不过在从部署到生产的整个过程中往往也会发现大量漏洞(64%)。这表明可能会存在将漏洞部署到生产环境中的风险，因为有相当一部分可能的安全问题是在API生命周期的后期阶段发现的。 值得注意的是，有五分之三(62%)的IT主管通过实时监控发现了生产环境中的问题和漏洞。这说明在这种环境下，采取积极的安全保障措施是极其必要的。 现状评估 充满信心应对安全威胁 面对不稳定的API威胁现状，大多数组织都认为自身拥有合适的工具和解决方案来确保实现端到端API安全性。事实上，有超过四分之三(77%)的受访者表示他们拥有必要的工具和解决方案，另有16%的受访者表示他们拥有实现端到端API安全性所需要的部分工具和解决方案，只有极少数受访者表示自己没有所需要的工具。 更有意思的是，大多数技术主管(66%)都将其安全策略评为高阶。这也就是说，他们相信自己拥有全面、集中且表现卓越的API安全中心，并认为其组织的安全工具和解决方案不存在任何方面的脱节。 部分群体对自身的安全现状比其他群体更有信心。下列群体将其API安全性评为高阶： ●云原生(71%)●混合云环境(71%)●IT高管(71%)●过去12个月内遇到过安全事件(71%) 信心是否盲目？ 现实的安全问题与调査中人们对安全工具的信心之间似乎存在着差距。这是不是因为组织忽视了屡见不鲜的安全事件（去年有50%的组织遇到过安全事件），以及API安全性对组织创新步伐的影响（去年有53%的组织推迟产品/服务发布）？抑或只是将安全事件视为在数字领域营商的代价而选择默默接受？ 现实可能介于两者之间。有些组织可能低估了安全威胁及其对组织的影响程度，或者说他们可能清楚地认识到，API安全性是不断发展演变的，而安全威胁是演变中不可避免的。 企业将积极应对API安全性视为要务 为了提前预防安全威胁，许多组织开始寻找相关的解决方案来帮助他们主动出击，同时尽可能减轻安全团队的负担。我们的研究表明，在大部分IT主管明年的愿望清单中，能够主动识别安全威胁的功能(60%)和能够提升自动化的功能(57%)高居前两名。然而，大多数IT主管还没有准备好或不愿意优先将人工智能和机器学习技术整合到其API安全机制中。 发展机遇 整合、端到端监控、监督必不可少 那么，IT主管到底希望API安全解决方案为他们提供哪些帮助，使其从容应对威胁的挑战和接连不断的漏洞，从而轻松度过API生命周期的每个阶段？ 抛开一些显而易见的因素不谈，比如能与现有工具轻松集成和支持最新技术，在评估API安全解决方案时，整合能力以及端到端解决方案也是一些很重要的考虑因素。这一点对高管层的直接下属(C-1)尤其重要。虽然高管层自己更为关注与现有API工具的轻松集成，但其下一级管理人员还希望找到更广泛的解决方案，以便同时解决多个问题。 在评估API安全解决方案时，高管层往往会比C-1级管理人员更重视第三方的建议，而C-1级管理人员则较为看重采用最新技术、专为云原生安全性构建的解决方案。除此之外，相比单点解决方案，相当大一部分C-1级管理人员更青睐整合的API安全解决方案。 这一领域需要更多培训和认证 除了技术解决方案之外，许多组织还希望进行培训和程序方面的改进，以便更好地抵御威胁。在API安全性方面，组织的主要优先事项包括制定API安全性学习和认证标准(38%)、完善文档以将安全最佳实践纳入其中(38%)，以及修改现有流程以捕捉API安全问题和漏洞问题(37%)。不过，即使IT主管们在提高API安全性方面往往持开放接纳态度，他们却没有一个明显具有优势的方案。 大多数组织都认同其安全策略需要改进 根据我们的研究，大多数组织都未制定全面的API安全策略。大部分(60%)受访组织表示，他们的策略至少需要改进。 与其他安全领域一样，高管级的IT主管与其下一级的IT管理人员(C-1)之间的看法也存在着轻微脱节。在本次调查中，53%的高管层表示其组织的API安全策略需要改进。而在其下一级的管理人员(C-1)中，这一数字增加到了61%；对于这两级以外的其他管理人员(C-2)，该数字增加到了69%。 并非所有组织都将API安全策略视为头等要务 虽然许多组织仅仅是因为缺乏足够的资源和技能而无法实施全面的安全策略，但这些组织中的IT主管却常常会觉得，是因为组织没有将API安全性视为优先事项。这可能会在安全团队内部引发一些敌意情绪。 即便是有些有计划的组织，他们也可能会在组织内分散执行API安全解决方案，并往往将职责分配给不同的团队。事实上，不同公司的API安全职责常常会因他们的需求、行业和公司结构而异。 API管理解决方案和API网关解决方案的影响 超过四分之三(78%)的组织表示，他们在整个组织范围内实施了API管理/API网关解决方案。 这些组织往往不太可能认为其安全策略需要改进(52%)，他们更有可能拥有一个全面、集中且表现卓越的API安全中心(74%)，并且更可能会认为自身拥有必要的工具和解决方案来确保实现端到端API安全性(91%)。 API安全性是API宏观策略的关键一环 针对API的攻击很常见，但并不一定都会导致安全事件。 端到端解决方案可以帮助组织识别和保护易受攻击的API安全领域，例如配置错误，以及过时的API、数据和组件。虽然单点解决方案也可以提供部分解决办法，但很明显，考虑到API生命周期中的攻击广度和漏洞的多样性，组织需要一个全面的解决方案，才能避免推迟产品/服务发布以及阻碍创新步伐。为确保实现长期的API安全性，组织需要优先制定一个宏观的API管理计划，并尽可能制定覆盖全组织的API策略。 Apigee API管理平台简介 Google Cloud的Apigee API管理平台可提供涵盖整个生命周期的API管理，从而帮助企业发掘数据价值并安全提供现代化的应用和数字体验。为使企业能够控制和了解API流量，Apigee提供了丰富的功能，包括自动排查并解决问题的功能，以及从API使用情况中获得分析洞见的功能。 您希望了解更多内容吗？请访问cloud.google.com/apigee，或者向apigee@google.com发邮件，直接联系我们。