传感器|API安全形势严峻，企业如何正确保护？算法|网络安全

文章图片

文章图片

文章图片

日前，网宿科技发布的《2021年中国互联网安全报告》显示， 2021年， API攻击呈爆炸性增长，达到2020年的3.13倍。
Imperva发布的一项新研究揭示，易受攻击或不安全 API 的全球成本不断上升。对近 117000 起独特的网络安全事件的分析估计， API 安全隐患每年会导致 41-750 亿美元的损失。

根据Salt Security最近发布的《2022年API安全状态》报告，大约34%的组织完全没有API安全策略，另有27%的组织表示只制定了基本策略，仅包括最低限度的API 安全状态扫描和人工审查，毫无控制或管理措施。
Noname Security委托451 Research开展的另一项研究发现， 41%的组织在过去12个月内经历过API安全事件。其中， 63%涉及数据泄露或遗失。
Shadowserver Foundation的研究人员发现，超过38万台开放Kubernetes API服务器暴露在互联网上，占全球可观测在线Kubernetes API实例的84% 。 Shadowserver还在报告中称， “甚至还暴露了版本和构建信息。 ”

据了解， API往往是云基础设施管理中最弱的一环，因为它们往往位于控制平面核心位置，而控制平面负责处理云基础设施和应用程序的配置。但上述的数据、结论，无一不显示了API安全当下的严峻形式。另有数据表明，随着这些成熟的组织加速数字化转型，大公司特别容易受到与暴露或未受保护的 API 相关的安全风险的影响。
【传感器|API安全形势严峻，企业如何正确保护？】API的中文名是应用程序接口，又称为应用编程接口，是软件系统不同组成部分衔接的约定。其主要价值是链接应用程序和数据，以及链接客户和商业伙伴。同时， API不仅服务于个人，还为许多企业的数字化转型提供了强大动力。

比如，对于软件研发来说， API就相当于编程语言中的库和类，研发人员越来越多地在API的基础上开发应用程序，实现对通用服务的重复使用和共享，以加速创新和推动企业变革。
现代API往往隐藏在网络应用之中，在日常生活中接触最为广泛和熟知的身份认证、电子支付、定位、语音转换等等基础数字服务，都是以API的形式来呈现的。
API应用场景
面向终端客户：在互联网上开发给到用户使用的APP、Web、小程序等使用到的API
面向合作企业：在互联网上开放给到合作企业客户使用的业务API
面向内部员工：开放给到内部员工或者合作伙伴使用的应用系统上关联到的API
面向开源组件和中间件：使用到的clickhouse、spring boot、k8shadoopjenkins等涉及到的API
相关报道指出， API 是无形的结缔组织，使应用程序能够共享数据以改善最终用户体验和结果。企业使用的 API 数量正在快速增长；近一半的企业内部或公开部署了 50-500 个，而有些企业拥有超过一千个活动 API 。

许多API 直接连接到存储敏感数据的后端数据库。因此，黑客越来越多地将 API 作为通往底层基础设施的途径，以窃取敏感信息。如今，每 13 起网络事件中就有多达 1 起可归因于 API 不安全。随着生产中的 API 数量成倍增加，预计这一数字将在未来几年增长。
因此，针对企业API安全保护，综合了网上部分安全建议，以供大家参考：