API安全的重要性与挑战

关键要点

我们可能不曾想象，自己会面临无法查看银行账户或无法观看重要比赛的困境，这些情景都与我们日常使用的应用程序有关。然而，现实是，由于安全漏洞严重影响，大规模故障的发生是一个潜在风险，而我们每个人都可能受到影响。

实际上，重大的安全漏洞即将来袭。这何以为然？攻击面不断扩展、黑客日益聪明、整体安全事件增加，以及API安全本身难以掌握，这些因素都使得重大的攻击在所难免。

例如在澳大利亚，去年电信公司Optus就遭到过一次API攻击，泄露了980万客户数据，包括驾驶执照、护照、姓名和电话号码等信息。

下一次API攻击可能针对的目标公司可能产生深远的影响，也可能成为有关API安全重要性的一次必要警示。鉴于这样情况即将到来，我们来探讨一下API安全的挑战所在，以及企业应采取哪些措施来保护其攻击面。

近年来发生的任何安全漏洞（除了勒索软件事件）都可能与API有关。从到
和，各大公司的API正成为黑客窃取私密信息的“逃逸车”。

尽管安全技术在这些年取得了重大进展，但API安全依然是一大挑战。很难确定公司内部谁应该对API安全负责。是API开发者的问题？纯粹是一个安全挑战吗？还是产品方面的问题？

在谁负责API安全这方面存在模糊性的情况下，错误、疏漏和攻击就更可能发生。例如，API安全并不像勒索软件那样清晰明了——由于保护组织端点的责任始终在IT安全团队身上，但确定API安全责任归属就变得复杂得多。

以下是企业可以采取的两项措施来加强API安全：

确定责任人： 直到公司经历API漏洞带来的痛苦，他们才可能会制定出相应的API安全策略。通常是故障或攻击促使企业采取行动。指定一名API安全负责人可以让公司在应对API安全时更具战略性和主动性，从而消除责任上的任何混乱。API安全负责人可帮助组织评估当前的安全状况，识别问题领域和优先事项，在事件发生之前及时进行解决。此外，他们还可以教育公司内其他团队认识到强大API安全的重要性，并制定各方都能接受的策略。
进行持续评估： 保护API并不是一次性的事情，例如当企业试图阻止攻击者时。它应该从开发者开始构建应用程序的时刻起，就嵌入安全原则，贯穿整个API生命周期。这是一个需要持续关注和评估的过程，包括定期进行自我评估，监测和分析API流量模式以识别和减轻可疑活动，或进行安全审核和渗透测试。始终进行这样的评估，以及时识别和应对潜在威胁。

API安全漏洞的威胁迫在眉睫，但企业可以采取措施在此期间更好地保护其攻击面。通过选择负责API安全的负责人，并进行持续评估以了解潜在问题，组织就能更好地避免成为网络攻击的受害者。

Karl Mattson，Noname Security首席信息安全官