ESG 研究报告：保护企业的 API 攻击面

攻保护击API面 2023年5月 MelindaMarks，高级分析师 ©2023TechTarget,Inc.保留所有权利。 保护API攻击面 应用程序组件和资源的API数量也在日益增多。众多组织将API视为云原生堆栈中最容易受到攻击的元素，而在过去12个月中，不安全的 因现此代，软组件织开需发要的有步效伐的。为AP了I安进全一解步决探方索案这来些降趋低势，云原生开发扩展带来的风险，并帮助其团队发现、管理、配置、监控和保护其API，从而跟上 研利用究微服目务标架构的Web、移动和云端应用程序日渐普及，促使各行各业的组织提高了生产率、创新能力和客户服务水平。但与此同时，连接API引发的攻击是云原生应用程序开发方面最常见的网络安全事件。随着API数量不断增长，安全风险也在加剧。 397位IT、网络安全和应用程序开发专业人员参与了调查。 机构中负责评估或采购云安全技术产品和服务的 TechTarget旗下的EnterpriseStrategyGroup(ESG)邀请北美（包括美国和加拿大）组织 本项研究旨在： 验和证增与长云模采式用。和数字变革相关的API使用情况 突显安全团队在保护其API安全方面的挑战。 审视现行API安全方法及其有效性。 确定提高API安全性的最佳实践。 2 返回目录 ©2023TechTarget,Inc.保留所有权利。 主究要结论 点击以查看详情 ©2023TechTarget,Inc.保留所有权利。 保护API攻击面 网代络化安的全必现要代条化件是应用程序开发现 第4页 API的增长引起安全风险级别急剧提高 第8页 API安全事件普遍存在，造成了诸多 挑战和缺陷 第13页 制各定种有工效具，的也A需P要I安开全发策人略员需的要参用与到 第20页 组势，织并机为构此致而力投于资加强API安全态 第27页 研究方法和基本统计数据 第31页 网发络现安代全化现的代必化要是条应件用程序开 保护API攻击面5 业务应用程序的数字变革基于微服务、云原生架构且面向公众的Web应用程序所占百分比。 而更好地为员工、合作伙伴和客户服务。 组用织程机序构架日构渐提将供其的生先产进负技载术迁和移服到务，公他有们云可平以台更。快借速助、云有服效务地提构供建商和(部CS署P)应和用微程服序务，应从 |在公有云基础架构服务上运行的生产负载所占百分比。 当前在公有云基础架构服务上运行的生产负载所占百分比 从现在起的24个月内，在公有云基础架构服务上运行的生产负载所占百分比 13G9 13% 9% 10%工到作负20载%的 52% 52 21%工到作负30载%的 29% 22% 22 31%到作负40载%的工 36% 7% 716G 16% 41%到作负50载%的工 6% 610G 10% 超过5负0%载的工作 ©2023TechTarget,Inc.保留所有权利。.“返回目录 保护API攻击面 |使用DevOps实现代码和基础架构的CI/CD自动化。 57% 我们广泛采用DevOps 31% 我但们比采较用有了限DevOps， 0% |开发人员和/或DevOps团队将新版本交付到生产环境的频率。 100% 6 提发高布开速发度人员的效率以加快 组织机构还在利用DevOps方法实现应用 程 开发人员能够配置自己的云基础架构，通过 CI/CD渠道开展协作以高效构建应用程序， 序 的 持 续 集 成 和持续部署(CI/CD)。这让 并会将发其布部新署的到内云部中版本。如，开今，发许人多员组希织望每提天高都 布开发频步率，调而的这难造题成。了安全机制难以跟上快速 “返回目录 ©2023TechTarget,Inc.保留所有权利。. 保护API攻击面 “他性们融需入要开在发流不程拖慢。运” 7 营工作的前提下，想方设法将安全 -MelindaMarks，高级分析师 关的于难整题合安全性以跟上发布速度 云也原给生安应全用团程队序造开成发了带挑来战，了他效们率需和要生获产得力必优要势的，控但制产力用，内确部保版所本部在署部的署应时用存程在序安安全全问无题忧外。，除许了多指组出织生还者）表开示发，人其员安会全跳团过队安对全开流发程流程。缺乏了解，并且（或 他性们融需入要开在发不流拖程慢。运营工作的前提下，设法将安全 ©2023TechTarget,Inc.保留所有权利。. |更快的CI/CD开发周期带来安全挑战。 “返回目录 A起别P急安I的全剧增提风长高险引级 保护API攻击面 使用API的应用程序比例不断增加 API，预计采用这种做法的组织在未来两年将增长到50%。 程序都在使用API数量的增加。事实上，目前有超过三分之一的组织表示，他们的所有应用 随员着创基建于的微应服用务程的序应愈用加程复序杂，云这原也生可开能发促不成断发展，这些应用程序需要通过API来访问服务、数据或其他应用程序。开发人 |使用 API 的云原生应用程序比例。 从现在起24个月内使用API的云应用程序比例（样本量=397） 目前使用API的云应用程序比例（样本量=375） 18 18% 44% 365014 我们大约一半的应用程序 15% 32% 我们的大多数应用程序 我们的全部应用程序 36% 50% “ 9 目分表示前之，有一超的他们组三织的 所序有都应在用使程用 A采P用I..这种预做计法 的两组年织将在增未长来到 50%。” “返回目录 44 ©2023TechTarget,Inc.保留所有权利。. 保护API攻击面10 每个应用程序大量使用API造成安全风险 障他们的关键业务驱动因素——保持应用程序正常工作并安全无忧。 超过四分之三(76%)的组织表示，他们为每个应用程序平均部署了26个 A伙P伴I。很衔高接，比并例连的接组到织微正服在务将。开安放全式团队AP需I用要于确公保共每用个途连，接将都应安用全程无序虞与，合以作保 每个应用程序平均使用的API数量。 J33 |API的使用方式 67% 开放式API用于公共用途 64% J36 将伴应衔用接程序与合作伙 51% 5149 连接微服务 ©2023TechTarget,Inc.保留所有权利。.“返回目录 11 “超35过%三)的分组之织一 每更新天都。会”发布 “返回目录 保护API攻击面 API更新频率 (35%)的组织每天都会发布更新，另有40%的组织每周发布更新。 除之了一面临API数量急剧增多及其相关连接类型带来的风险之外，安全团队还面临着难以跟上API更新速度的挑战。超过三分 |组织通常更改或更新API的频率 ©2023TechTarget,Inc.保留所有权利。. 保护API攻击面12 接触互联网的组织API的百分比 对式于或构暴建露可问用题来而调不用够其安他全的服务、应用程序或数据的现代应用程序，API意义非凡。每一个因连接方 API风险暴露与连接 API或其更新都会增加攻击面。虽然大多数应用程序都使用API，但大 多较数高组比织例面的向互联网的API比例并不高。这表明许多API都面向内部，可能用于连接多个微服务。 API安全在其网络安全策略中的重要性。 势日益明显，A集PI成用对于象将不应一用而程足序，连包接括到公其司他内应部用部程门、序外。这部反第映三出方共开享发开人放员式或业AP务I以合进作行伙集伴，成目的的趋是连例接不应断用增程长，序突，实显现出更丰富的功能。数据还表明，组织认识到API流量在云/互联网流量中所占的比 连接到其他应用程序且属于第三方API的API百分比云/互联网流量中API流量所占百分比 1%至10% 11%至25% 26%至50% 51%至75% 超过75% 40960= 250750= 540460= 160840= 20990= 4% 25% 54% 16% 2% 1%至10% 11%至25% 26%至50% 51%至75% 超过75% 30970= 240760= 490510= 220780= 20980= 3% 24% 49% 22% 2% ©2023TechTarget,Inc.保留所有权利。.“返回目录 A遍诸P多存I安挑在全，战造事和成件缺了普陷 保护API攻击面 源自不安全 的安全事件 14 35578 |在过去12个月中，组织是否遇到过与不安全API相关的安全事件？ 在遇过到去了一12次个与月不中安，全我们 API API相关的安全事件。 随个着月中AP遭I数遇量了的与不安增全加，组织机构在过去12 在遇过到去了与12不个安月全中，我们 相关的安全事件 35% API (57%)的组织遇到过多次安全事 尽年，管有已超有过多半种数解决API安全问题的产品，但在去 关的多次安全AP事I相件 件，35%的组织遇到过一次安全事件。 57% ©2023TechTarget,Inc.保留所有权利。. “返回目录 保护API攻击面15 API安全事件的类型及其影响 A数P据I的泄日露渐。这增些长攻给击企可业能带会来给了组广织泛造的成攻严击重风影险响，因，导此致安他全们团无队法需保要障行应之用有程效序的安方全法性来的管主理要安驱全动风因险素。组，从织而机损构害因应不用安程全序A正PI常而运遭行遇、的客安户全服事务件和不成一本而管足理，。包括帐户接管、服务拒绝攻击和 |源自不安全API的安全事件类型API安全事件的影响 保护API攻击面16 安全解决方案无法彻底杜绝攻击|用于保护Web应用程序的独立工具 近四分之三(74%)的组织认为，他们拥有可靠的 Web应用程序保护工具，包 A控P制I安措全施计。他划们，并有为多A种PI安全性制定了保护流程和J J50 484258 括API安全工具、Web应用程序防火墙(WAF)和 A理P解I网决关方，案以。及分布式DoS攻击抵御和爬虫程序管 59% API安全工具 57% Web应用程序防火墙(WAF) 50% API网关 48% 分布式拒绝服务攻击抵御 42% 爬虫程序管理 |API安全功能现状 保护API攻击面17 主要的API安全挑战 API而言，建立清单尤为困难。 尽素管获拥得有可可见靠性的和控AP制I安力全。组计织划需，并要且建已立部管署理多清种单工以具便，一但致组地织实在施应安用全程流序程安和全政方策面，仍而然对面临诸多挑战。这些挑战包括对多种工具进行管理，以及对随着云原生开发而快速扩展的各种元 29G |组织机构在API安全方面面临的最大挑战 29% 27G 使用多种API管理工具 27% 25G 支序持之开前发执人行员AP在I安部全署测应试用程 25% 准的确AP清I点我们组织中使用 28% 28G 26G /可见性 对力API部署缺乏控制 26% 24G A或P数I不据安暴全露导问致题数据治理和/ 24% 使的用应并用非程为序安AP全I安工全具而打造 27% 26G 27G 准的确第清三点方我AP们I的应用程序使用 26% 21G 查找和修复配置不当的 API 21% API可能会暴露敏感数据 27% 26G 27G API规范的采用不一致 及时跟进以我们的 26% API为目标的威胁 保护API攻击面18 API安全顾虑 API、发现影子API和僵尸API。这些顾虑突出表明，组织需要找到更好的方法来确保API的安全。 随有着效的AP身I数份量验持证续才增能加确，保安安全全问。题此层外出还不存穷在，许认多识可到见这性种顾情虑况，的包组括织识迫别切和需跟要踪解决这些顾虑，以有效管理云安全风险。最主要的顾虑在于身份验证，这令人担忧，因为任何连接都需要 |API安全顾虑的程度 保护API攻击面 |最令人担忧的API漏洞类型 30G29G28G 3434%3131%3131% 敏感数据暴露基于属性的访问控制漏洞API业务逻辑缺陷 30%29%