不被重视的API安全：逐步进入“军备竞赛”状态

KyleAlspach 发布日期：2021-11-21 21:22:11

【前言】尽管应用程序编程接口（API）的普遍应用可能会造成企业数据泄露的巨大风险已成为公认的事实，但仍有许多企业未能认识到这一事实的严重性。Gartner预测：“到2022年，API滥用将成为导致企业Web应用程序数据泄露的最常见攻击媒介”，对于企业而言，API安全的建设迫在眉睫。

本文发自VentureBeat，原题为“API security‘arms race’heats up”，作者KyleAlspach，经朋湖网作者黎燕编译整理，供业内参考。

长久以来，安全性差的API一直被视为企业数据安全中的巨大隐患，例如，2018年发现的T-Mobile和Facebook的数据泄露事件的源头都来自于API漏洞。

近年来，伴随着数字化浪潮愈演愈烈，云原生等技术的加速应用，API成为了企业数据流动的主要方式，作为连接服务和传输数据的重要通道，其安全的重要性亦日益凸显。

“API在SolarWinds攻击等备受瞩目的黑客攻击事件中扮演着至关重要的角色，这也刺激了更多的企业开始关注API的安全问题，”全球知名反恶意软件及反垃圾邮件权威专家、Gartner研究副总裁Peter Firstbrook表示，“但其中仍有许多企业并未开始展开行动。”

在本周的Gartner安全与风险管理线上峰会上，他讲道，“在绝大多数组织中，当我问及他们谁负责API安全时，他们都是一幅茫然的神情。”Peter Firstbrook强调，这种认知需要改变。

“API是一个不断增加的攻击点，”Peter Firstbrook表示，只要互联网在API上运行，那么就会对其安全性拥有巨大的需求。

Gartner指出，到2022年，绝大多数支持Web的应用程序（90%）以API的形式暴露在攻击之下的面积将远远超过通过人类用户界面进入的面积，API滥用将成为导致企业Web应用程序数据泄露的最常见攻击媒介。

Gartner副总裁兼分析师Neil MacDonald亦表示，“API安全的构建需要成为企业整体安全战略的一部分。”

市场迎风口

有迹象表明，越来越多的企业开始选择使用API安全相关产品，市场上API安全领域中的产品数量亦不断扩大，多家专注API安全的企业得到快速发展。

据了解，成立于2016年，并拥有数据中心运营商Equinix和电信公司Telefónica等众多知名客户的Salt Security，在过去一年中就已得到1亿美元的投资，并于今年5月份又完成了7000万美元的C轮融资。

此外，Noname Security自2020年成立以来已得到8500万元的投资，其首席信息安全官Karl Mattson表示，Noname Security已拥有全球五大制药公司中的两家、全球三大零售商之一以及全球三大电信公司之一等头部客户。

初创企业Noname Security此前亦发布报告称，自2月份推出以来，其API安全产品迅速受到关注。

其他的初创企业如Neosec，该企业9月份开始活跃在市场上，并于不久前完成了2070万美元的A轮融资，其引入的客户包括老牌供应商Barracuda和Cloudflare。

市场上亦有越来越多企业开始加入这一赛道当中，Akamai、PingIdentity、42Crunch，Traceable、Signal Sciences等都打造了各自的API安全相关产品。此外，Imperva则是通过收购市场上的初创企业CloudVector来加强其API安全平台的建设。

但不仅是防御者在API安全问题上加大了防范力度，攻击者的攻击力度亦正在增加，据API安全供应商Salt Security日前发布的报告显示，在2021年前六个月中，其客户群中基于API的攻击已增加了348%。

"现在是一场军备竞赛，"Noname的专家Mattson表示，“我认为攻击者已经看到API的攻击和妥协并不太复杂。”

同样，安全构建者亦看到了这一点。

API漏洞在哪里？

Mattson认为，最常见的基于API的攻击涉及利用API的身份验证和授权策略。在这些攻击中，黑客破坏了API的身份验证和授权意图，以便访问数据。

“现在你有一个非故意的行为者访问一个资源，如敏感的客户数据，但该组织认为没有任何问题。”他说道。

Mattson表示，这种所谓的 “泄漏的API ”问题是许多与API有关的最引人注目的违规事件的背后原因。

另一个问题是API调用现在被用来启动或停止一个关键的业务流程，如广播公司用API启动广播流、电力公司使用API调用打开或者关闭家庭电力。“对API的依赖程度进一步提高了企业的数据安全风险。”他强调。

Gartner研究副总裁Peter Firstbrook亦指出，SolarWinds攻击的API安全也表明了这个问题的关键之处。

他指出，通过植入SolarWinds Orion网络监控软件中的恶意代码，攻击者可以访问属于电子邮件安全供应商Mimecast的环境。而Mimecast，因为它为Microsoft Office 365用户提供了反垃圾邮件和反网络钓鱼等功能，所以可以访问Office 365 API。

因此，通过Microsoft API密钥，攻击者可以访问据报道的4千多个客户的Exchange环境。

针对此事件，Mimecast在三月份发布了有关该事件的报告，但拒绝向VentureBeat提供进一步的评论。

“显而易见的是，我们必须要更加关注各行各业的API安全性问题。”Peter Firstbrook强调，“数据供应链的一部分建立在API之上，我们必须围绕理解、管理和保护 API 三个核心点从而展开构建API安全的最佳实践。”