您所在的位置: 首頁 >
新聞資訊 >
威脅情報 >
2021年API攻擊流量暴增681%
Salt Security研究部門Salt Labs的一份新報告發(fā)現(xiàn),Salt Security客戶遭遇的API攻擊流量在過去一年中增長了681%,與此同時整體API流量增長了321%。惡意API攻擊流量的急劇增加導致生產(chǎn)延遲和對API安全策略缺乏信心,最終損害業(yè)務和創(chuàng)新。
2021年,隨著組織繼續(xù)轉(zhuǎn)變工作方式以及開發(fā)人員為越來越多的服務開發(fā)更多應用程序和API,API安全事件顯著增加。攻擊者還改變了他們的策略,更頻繁地針對API。因此,95%的受訪者表示在過去12個月中遭遇過API安全事件。
過去12個月中,每位客戶使用的API平均數(shù)量增加了221%,從2020年12月的42個增長到2021年12月的135個,增長了221%,而API調(diào)用則增長了321%,顯然,客戶正在更頻繁地使用他們的API。
26%的受訪者表示,他們使用的API數(shù)量至少是一年前的兩倍,5%的受訪者使用的API數(shù)量是一年前的三倍以上。然而,API安全問題繼續(xù)阻礙創(chuàng)新,62%的受訪者出于API安全問題延遲將應用程序部署到生產(chǎn)中。組織迫切需要降低API的風險,以繼續(xù)快速創(chuàng)新并支持業(yè)務增長。
幾乎每家公司都在其生產(chǎn)環(huán)境API中發(fā)現(xiàn)安全問題,其中漏洞是主要挑戰(zhàn),39%的受訪者在其生產(chǎn)API中發(fā)現(xiàn)了漏洞。
因此,阻止API攻擊連續(xù)第三次(42%)成為受訪企業(yè)的第一安全優(yōu)先級事項。報告指出,另一方面API安全正在普遍改變安全團隊的工作方式,使其變得更好。超過三分之一(34%)的受訪者表示安全團隊與devops的合作越來越多,另外30%的受訪者表示devops正在尋求安全團隊的意見以制定API指南。另外四分之一的受訪者(25%)讓安全工程師融入了devops團隊,這推動了DevSecOps采用的真正進展。
API安全公司Salt Security發(fā)布的這份 API 安全狀況報告的調(diào)查顯示,95% 的受訪組織在過去 12 個月中都經(jīng)歷過 API 安全事件。盡管攻擊和安全事件在急劇增加,但這些都在運行 API 的組織仍然沒有為防御 API 攻擊做好準備,34% 的受訪者缺乏任何類型的 API 安全策略。這種防御的缺乏給企業(yè)帶來了巨大的商業(yè)風險,表現(xiàn)為業(yè)務創(chuàng)新速度減慢、消費者信心受損以及現(xiàn)代化工作受到干擾。
據(jù)了解,API 安全狀態(tài)報告結(jié)合了來自 Salt SaaS 云平臺的調(diào)查反饋和實踐數(shù)據(jù)。被其平臺阻止的針對 Salt 客戶的攻擊嘗試急劇增加——惡意 API 流量增加了 681%,而整體 API 流量才增加了 321%。值得注意的是,62% 的受訪者承認,由于 API 安全問題而放慢了新應用程序的推出速度。
“為了蓬勃發(fā)展,每家公司都必須是一家軟件公司,而 API 是其應用創(chuàng)新的核心?!盨alt Security 聯(lián)合創(chuàng)始人兼首席執(zhí)行官 Roey Eliyahu 表示,數(shù)字業(yè)務已成為我們現(xiàn)代經(jīng)濟的領導者,同時也成為惡意攻擊者的主要目標?!拔覀兛吹?API 攻擊逐年顯著增加,更令人擔憂的是,API 使用和攻擊的增長速度持續(xù)超過企業(yè)的準備和防御。企業(yè)必須投入時間和精力來了解 API 攻擊形勢,以及保護其最重要資產(chǎn)所需的關鍵能力?!?/span>
幾乎所有調(diào)查對象 (95%) 都在他們的生產(chǎn) API 中發(fā)現(xiàn)了安全事件,因此迫切需要制定一套強大的 API 安全策略。報告指出Salt 客戶的攻擊頻率也越來越高,12% 的客戶平均每月遭受 500 次以上攻擊。
“盡管組織已盡最大努力在將 API 發(fā)布到生產(chǎn)環(huán)境之前對其進行驗證,但 API 是一個很有吸引力的攻擊媒介,”Salt Security 技術宣傳員 Michael Isbitski 說?!拌b于傳統(tǒng)的安全和 API 管理平臺無法抵御針對 API 獨特業(yè)務邏輯的復雜攻擊,攻擊者繼續(xù)得逞并使企業(yè)面臨風險也就不足為奇了。”
安全問題是 API 策略中的首要問題
調(diào)查受訪者發(fā)現(xiàn),他們對公司的 API 程序有各種各樣的擔憂,40% 的人認為安全性是他們最擔心的問題。生產(chǎn)前安全性投資不足位居榜首,占 22%,另有 18% 的受訪者擔心程序沒有充分解決運行時的安全性問題。
大多數(shù)企業(yè)都沒有為 API 攻擊做好準備
遺憾的是,高度公開的安全事件帶來的警示和安全專業(yè)人員對于實施 API 安全保護的呼吁并不足以推動大多數(shù)組織采取有效的 API 安全策略。在受訪者中,34% 的人沒有制定相關戰(zhàn)略,略多于四分之一 (27%) 的人只有基本戰(zhàn)略。只有 11% 的企業(yè)擁有包含專用 API 測試和保護的高級策略。
調(diào)查結(jié)果還支持這樣一種觀點,即預算和技能差距在這種準備不足的情況下發(fā)揮了作用————缺乏專業(yè)知識或資源 (35%) 和預算限制 (20%) 是實施最佳 API 安全策略的最大障礙。
過度依賴“左移”實踐繼續(xù)讓企業(yè)受挫
由于運行時保護是有效保護 API 的基礎,并且 95% 的受訪者在去年經(jīng)歷過 API 安全事件,因此 API 安全的“左移”策略被證明是不充分的。隨著 IT 團隊繼續(xù)在 API 安全性的“所有權(quán)”問題上存在分歧,這個問題被放大了。超過一半的受訪者表示,主要責任在于開發(fā)人員、DevOps 或 DevSecOps。只有 31% 的受訪者將 API 安全責任交給 AppSec 或 InfoSec 團隊。
WAF 和 API 網(wǎng)關不足以抵御 API 攻擊
對傳統(tǒng)安全和 API 管理工具(如 Web 應用程序防火墻 (WAF) 和 API 網(wǎng)關)的依賴使許多組織產(chǎn)生了錯誤的安全感。95% 的受訪者在去年經(jīng)歷過 API 安全事件,55% 的受訪者依賴網(wǎng)關的警報,37% 的受訪者使用 WAF 來識別攻擊者,這一事實表明了能力上的差距。API 安全性依賴日志文件分析 (45%) 同樣無效——當日志文件被解析時,攻擊者早已帶走了有價值的數(shù)據(jù)和有效負載。
阻止 API 攻擊仍然是 API 安全平臺的首要標準
連續(xù)多次的調(diào)研都反應,更多的受訪者 (42%) 將阻止 API 攻擊列為他們在 API 安全平臺中尋求的最重要功能。緊隨其后的是確定哪些 API 會暴露個人身份信息 (PII) 和敏感數(shù)據(jù) (41%)。隨著時間的推移強化 API 的能力排在第三位 (38%),滿足合規(guī)性或監(jiān)管要求排在第四位 (36%)。
API 安全狀況報告的其他發(fā)現(xiàn):
·“僵尸”或過時 API 的風險在 API 安全問題列表中名列前茅,43% 的受訪者將其列為最大擔憂。賬戶接管排在第二位,22% 的人將這種風險作為他們最關心的問題。
·API 變更呈上升趨勢——9% 的受訪者每天更新其 API,31% 每周更新,24% 的更新頻率低于每月。
·86% 的受訪者對他們知道哪些 API 會暴露敏感數(shù)據(jù)缺乏信心。
·85% 的受訪者指出,他們當前的工具無法有效阻止 API 攻擊。
·83% 的受訪者對他們的 API 庫存缺乏信心。
API 安全正在改善安全團隊的工作方式
盡管組織對于誰應該為 API 安全負責的觀點大相徑庭,但安全和 DevOps 團隊之間的協(xié)作和共享投入正在增加。超過三分之一 (34%) 的受訪者表示,由于解決了 API 安全問題,安全團隊與 DevOps團隊 的合作更多,另有 30% 的受訪者表示,DevOps團隊 尋求安全團隊的意見以制定 API 指南。另有 25% 的組織將安全工程師嵌入 DevOps 團隊以應對挑戰(zhàn)。調(diào)查還發(fā)現(xiàn),越來越多的安全團隊正在關注OWASP API 前 10大威脅列表——本報告中的這一比例為 61%,而六個月前為 50%,這是改進整個組織的 API 安全實踐的積極變化。
參考資料:
https://www.wangan.com/p/7fy7f3aee5a9291e
https://salt.security/api-security-trends
http://www.anquan419.com/news/18/1155.html
文章來源:“金瀚信安”微信公眾號