2022年API安全性研究报告
AI智能总结
最新的API安全:见解和主要趋势 2022年的研究报告 API安全性如何影响企业的创新步伐,以及降低风险IT领导在做什么 表的内容 执行概要3 威胁无处不在4 影响创新的步伐5 活跃的API安全状况是必要的6 目前的评估7 自信的面对的威胁7 这是错误的信心吗?8 公司优先考虑主动的API安全性8 机会9 需要整合、端到端监控和监督9 需要在这一领域进行更多的培训和认证9 大多数人认为他们的战略需要改进10 API安全策略并不总是最重要的11 API管理和API网关解决方案的影响11 API安全是一个关键因素 一个更大的API的策略12 ©2022年谷歌公司。保留所有权利2 执行概要 随着数字体验的日益普及,应用程序编程接口的使用或 API正在兴起。因此,API是全球组织的一个重要漏洞领域。以下报告探讨了API安全威胁的形势及其对 创新。它深入研究了与API安全态势相关的技术领导者的世界观和策略,并提供了改善API安全运行状况的机会视角。 本报告基于GoogleCloud在2022年5月至6月期间进行的研究 来自美国公司的技术领导者,这些公司拥有至少1,500名员工,他们拥有对API相关技术解决方案的购买具有重大影响或决策权 计划在他们的组织。 “为什么API安全性是更大API策略的关键要素”解释了API安全态势是一个由于威胁的普遍存在,IT主管越来越关注,但大多数组织需要 改进他们的API安全策略。需要主动的安全能力和措施,因为 以及端到端的API安全解决方案,例如Apigee,一个完整的生命周期API管理平台。 景观的威胁 威胁无处不在 世界各地的公司都依赖应用程序编程接口或API,用于促进数字体验和释放 他们自己的数据和流程的潜在能量。API是一个将专有数据与第三资产混合的关键环节 各方。它们在现代化的竞赛中也发挥着关键作用。应用程序,提高互操作性,进而提高效率 功能。 但API的扩散和重要性带来了风险。 作为通往大量信息和系统的网关,API具有成为一个最喜欢的黑客攻击的目标。 我们的研究证实了这些威胁的广泛影响。我们调查了美国500多家技术领导者。其中一半报告在 过去12个月。该百分比是更高还是更低,具体取决于关于你问谁。62%的受访高管表示 他们在过去12个月内发生了安全事件,而只有37%的几个级别的人从 管理层说一样的。 这可能指向功能性IT的有限范围 团队,或者这可能表明问题的重要性那些有更大的责任。或两者兼而有之。 API安全事故 使问题更加复杂的是,威胁来自IT的无数API安全领域 领导者平均每个确定三个以上的领域。虽然没有一个区域站立作为一个明显的漏洞,潜在威胁的三个最常见来源是 安全配置错误,过时的api/数据/组件,机器人/垃圾邮件/滥用. 错误配置作为一个类别,是最容易识别的威胁领域,5个IT领导者中有2个要么选择安全错误配置或配置错误的api. API的安全威胁的来源 影响创新的步伐 这些威胁和事件具有现实世界的影响。API安全正在放缓步伐许多组织的创新。超过一半(53%)的组织推迟了 由于API安全问题而推出新服务或应用程序。对于那些 在过去12个月内经历过事故,超过四分之三(77%)的人经历过延迟推出新服务或应用程序。 由于API安全问题,延迟推出新服务或应用程序 活跃的API安全状况是必要的 随着各种安全漏洞的引入 在整个开发过程中,毫不奇怪 在API生命周期的每个阶段都识别安全问题从设计到测试再到部署等等。自然 安全问题最常在测试过程中发现 作为发布管理流程的一部分执行(67%),但大量漏洞被确定为一部分 部署到生产环境的过程(64%)。这表明将漏洞作为部署到生产环境的风险领域相当大比例的可能安全问题在 API的后阶段生命周期。 值得注意的是,问题和漏洞是实时识别的 五分之三(62%)的IT领导者在生产中监控,强调需要积极的安全态势是 需要在这个环境中。 识别API安全问题和漏洞的API生命周期阶段 目前的评估 自信的面对的威胁 尽管API威胁形势不稳定,但大多数组织相信他们拥有确保端到端的工具和解决方案 接口安全性。事实上,超过四分之三(77%)的受访者表示他们拥有所需的工具和解决方案,并且另有16%的人表示他们部分拥有他们需要的东西实现端到端的API安全,很少有人说 他们没有他们需要的工具。 更有趣的是,大多数技术领导者(66%)会他们的安全状况先进的。具体地说,他们相信他们拥有全面且集中的API安全性 卓越中心及其安全工具和解决方案是以任何方式不脱节。 某些群体对自己的安全态势更有信心别人。以下他们的API的安全先进的: ●原生云(71%) ●混合云环境(71%) ●管理层IT高管(71%) ●有一个事件在过去的12个月(71%) 高级API的安全姿势 这是错误的信心吗? 安全事件的存在与安全事件的存在之间似乎存在差距。相信工具正在完成工作。难道是组织忽略了 安全事件的普遍性(50%在去年发生过事件)以及 API安全性对创新的影响(53%的受访者在过去一年中推迟了推出)?或者仅仅是安全事件被接受为在 数字空间? 现实很可能在中间的某个地方。有些人可能低估了威胁和它们对组织的影响程度,同时也现实地认为API 安全在不断发展,威胁是生活的一部分。 公司优先考虑主动的API安全性 为了领先于安全威胁,许多组织都在寻找能够让他们 积极主动,同时最大限度地减少安全团队的负担。根据我们的研究,主动识别安全威胁的能力(60%)并改进 自动化(57%)是大多数IT领导者明年愿望清单的重中之重。然而大多数人还没有准备好或愿意优先考虑向合并人工迈出一大步 智能和机器学习尚未融入其API安全性。 对API安全技术优先 机会 需要整合、端到端监控和监督 那么,面对无情的威胁,IT领导者在API安全解决方案中寻找什么在API的每个阶段都要考虑的景观和一连串漏洞 生命周期? 除了接近桌面赌注的因素,例如与现有工具的轻松集成和对最新技术、整合和端到端解决方案的支持是其中的一部分评估API安全解决方案时要寻找的最重要因素。这是 对于那些向最高管理层(C-1)报告的人尤其如此。虽然最高管理层本身是更侧重于与现有API工具的轻松集成,它们下面的级别也是 寻找一种将涵盖大量领域的解决方案。 在评估API安全解决方案时,最高管理层倾向于重视第三方建议多于C-1,而C-1更看重为云原生构建的解决方案 采用最新技术的安全性。此外,C-1的百分比要高得多与单点解决方案相比,首选整合的API安全解决方案。 用于评估API安全解决方案的因素(前5名) 需要在这一领域进行更多的培训和认证 除了技术解决方案外,许多人还寻求培训和程序改进 作为打击威胁的一种手段。API安全性的首要任务包括建立 API安全学习和认证标准(38%),改进他们的文档 整合安全最佳实践(38%),并修改现有流程以捕获API 安全和漏洞问题(37%)。但IT领导者倾向于采取“是的,请”提高其API安全性的方法,没有一项举措脱颖而出 别人。 大多数人认为他们的战略需要改进 根据我们的研究,大多数组织没有完整的API安全性。战略到位。大多数人(60%)会说他们的战略需要改进至少。 与其他安全领域一样,对IT的看法之间存在轻微的脱节。 最高管理层的领导者和向他们汇报的人员(C-1)。在这种情况下,53%的C-Suites会说他们的API安全策略需要改进。这个数字增加到61% 对于向最高管理层报告的人(C-1),这两个级别中的69%被移除(C-2)。 API安全战略需要改进 API的安全策略 API安全策略并不总是一个顶级优先级 虽然许多组织只是缺乏资源和 制定全面战略的专业知识,IT领导者 组织通常觉得API安全性没有被优先考虑。这可能会导致安全等级中的一些敌意 团队。 即使是那些有计划的人也可能拥有API安全解决方案在整个组织中散落着责任,经常承担着责任 在团队之间分配。事实上,API安全责任根据需要经常因公司而异, 行业和公司结构。 API管理和API的影响网关解决方案 超过四分之三(78%)的组织表示他们拥有组织范围的API管理/API网关解决方案实现的。 这些组织不太可能感受到他们的安全 战略需要改进(52%),他们更有可能有一个全面、集中的卓越API安全中心 (74%),更有可能相信他们拥有所需的工具和实施解决方案以确保端到端API安全性(91%)。 实施了组织范围的API管理(APIM)解决方案的公司 API安全是一个关键因素一个更大的API的策略 对API的攻击很常见,但事件不一定如此。 端到端解决方案使组织能够识别并确保易受攻击的API安全性配置错误以及过时的API、数据和组件等领域。和 虽然单点解决方案可以提供破碎的解决方案,但很明显,考虑到跨API生命周期的攻击和各种漏洞,全面 解决方案提供了避免延迟和创新受阻的最佳机会。长期原料药 安全性需要作为更大的API管理计划的一部分进行优先级排序,以及何时可能的、组织范围的API的策略。 关于ApigeeAPI管理平台 GoogleCloud的ApigeeAPI管理平台提供全生命周期API管理,以帮助企业释放数据的价值,安全地交付现代应用程序和数字 经验。Apigee提供了一组丰富的功能,使企业能够控制 以及对API流量的可见性,包括自动进行故障排除和解决问题的能力分辨率和见解来自API的使用。 准备好了解更多吗? 访问cloud.google.com/apigee,或 直接通过apigee@google.com联系我们吧。
