【转载】当API成为数字世界基础设施 安全市场或将催生新蓝海

  • A+
所属分类:云安全

【转载】当API成为数字世界基础设施 安全市场或将催生新蓝海


当前,数字化转型正滚滚向前重塑全球经济与格局,数据、应用、设备在急剧增多,世界变得越来越杂乱无章,如何让数据流通更高效、应用集成更便捷、应用服务更安全?


API (Application Programming Interface,应用程序编程接口)作为连接服务和传输数据的重要通道,已然从简单的接口转变为IT架构,成为数字时代的新型基础设施。


根据Akamai的一项统计,API请求已占所有应用请求的83%,预计2024年API 请求命中数将达到42万亿次。


但API安全威胁却比API调用

增长更迅猛


因性质使然,API会暴露应用程序逻辑和个人身份信息(PII)等敏感数据,也正因为如此,API 逐渐成为恶意攻击者的首选目标,并通过非法控制和使用API接口窃取数据等。


近年来,API安全隐患已经造成过大量影响广泛的社会性事件。


例如,Facebook 2020年因API漏洞致使一个存有2亿余条记录的数据库被公开;微博2020年因APP的业务逻辑API被非法流量调用,导致3.5亿数据泄露;Instagram2018年由于其API存在漏洞,让黑客非法获取到许多高知名度用户的电话号码和电子邮件。


【转载】当API成为数字世界基础设施 安全市场或将催生新蓝海


这些事件促使API安全问题得到越来越多的关注。OWASP公布了排名前10的 APl安全威胁,包含API接口鉴权失效、敏感信息展示不当、过度的数据暴露、第三方通过 API 违规留存数据等风险。


Salt Labs最新发布的一份报告显示,在过去六个月中,API攻击出现了前所未有的激增,每月API调用率增长了141%,而恶意流量增长了348%。


Gartner直接预测,到2022年,API滥用将是最常见的攻击方式。


API 安全问题为何会如此严重?


星阑科技CEO王郁曾在相关演讲中解释,每一种新技术的使用,都会产生崭新的攻击面,从而带来安全管理和安全技术的问题。


而API面临的环境比传统Web安全更为复杂,不仅需要保障API服务及其运行环境的安全,在API的请求发起端还有相应的客户端及应用程序,同时API连接了广泛的IoT设备,其通信环境相当复杂。而且,API生态的多方性将导致安全责任分配不清,无人监管。


由于业务交互、数据交互、人机交互、数据流转、三方合作生态、云原生体系都是运行在API上,因此,API安全其实是交叉方向上的新生复杂安全问题,是 API经济背景下各方面安全风险与能力的汇总。


细数 API 安全防御实践


为了提高API安全性,根据OWASP提出的API威胁,需实施的防护措施应包含有效的身份认证、可控的访问授权、针对特定数据返回结果的筛选、访问异常行为检测及响应等等。


在工具方面,API 安全网关是多数企业习惯选择保护API安全的手段。API安全网关可以利用流量过滤以及监控等方式对入侵进行检测并防止黑客攻击。


与此同时,国内也已经涌现专注于API安全赛道的专攻型厂商。聚焦于该领域的星阑科技认为,面对复杂又具有交叉性的API安全问题,解决方案将会是一个多层的结构,包括API网关在最外层解决访问控制、通信加密的问题,中间层解决相关防火墙的问题,以及内层对数据流程管控、业务流程分析、复杂场景人机交互识别和异常检测等。


其推出的API-Intelligence安全分析平台采用大数据分析+异步实时阻断的方式,提供全景化API识别、API高级威胁检测、复杂行为分析等能力,构建API Runtime Protection 体系。


【转载】当API成为数字世界基础设施 安全市场或将催生新蓝海

星阑科技 API-Intelligence 安全分析平台


新时代下的新机遇


API安全问题日益突出,正在让这个常见但又还不为人熟知的安全挑战成为一片新的蓝海市场。


关于API安全的市场及未来,据苹果资本创始人胡洪涛介绍,目前API管理的全球市场已经达到10亿美元,根据Adroit市场报告显示,到2028年API管理市场总规模216.8亿美元,其中API安全占了30%,所以无论是国内还是国外,API安全的市场都具有无限的潜力。


在未来,实现全链条的API调用跟踪,利用大数据和AI的方法来解决API的问题也将是未来的必然趋势。很多API通信标准,例如RESTful API,已经在物联网、微服务、云原生等场景都得到了非常广阔的应用。


文章转载于“安全419”



往期推荐

【转载】当API成为数字世界基础设施 安全市场或将催生新蓝海

星阑科技荣获ISC 2021创新独角兽沙盒大赛冠军!

【转载】当API成为数字世界基础设施 安全市场或将催生新蓝海

剑指API经济蓝海 星阑科技重磅发布API安全新品

【转载】当API成为数字世界基础设施 安全市场或将催生新蓝海

【技术干货】从零开始的内核eBPF之旅(1)


【转载】当API成为数字世界基础设施 安全市场或将催生新蓝海

本文始发于微信公众号(星阑科技):【转载】当API成为数字世界基础设施 安全市场或将催生新蓝海

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: