該報告基于對68家跨行業企業的詳細評估,報告故意排除了如英國開放銀行等受監管環境,因為在這些環境中,高級安全措施是強制要求的,研究目的是了解那些沒有監管壓力的典型企業如何保護其API,結果并不樂觀。
超過80%的企業落入了報告所稱的“急需行動”類別,這些公司通過API處理高價值個人或支付數據,但使用的控制措施薄弱,如靜態API密鑰、長期有效的承載令牌或基于共享密鑰的基本OAuth,在全部樣本中,只有一家企業部署了研究人員認為的現代API安全堆棧,該堆棧依賴于客戶端證書認證、發送方約束令牌和雙向TLS(mTLS)。
數據敏感性與安全態勢之間的差距是研究人員想要揭示的核心問題,報告警告稱:“盡管大多數企業對API的依賴程度日益增加,但它們在API安全加固方面卻落后了。”
脆弱的基礎
API廣泛用于支持移動應用、云服務和合作伙伴集成,這意味著攻擊面已經發生了變化,但安全實踐往往沒有跟上。如今,API處理從身份聲明、持卡人數據到健康和賬戶信息的所有內容,然而,在許多企業中,它們仍然不在標準安全計劃的范圍內。
報告指出,只有27%的企業對其API暴露的敏感數據有可見性,不到一半的企業進行API特定的安全測試,如模糊測試或動態分析,監控也缺乏,意味著攻擊者可能數周內探測或濫用API而未被發現。
更佳實踐
Raidiam提出了加強API安全的路徑,其中大部分歸結為采用已在受監管領域證明有效的實踐。例如,金融級API依賴雙向TLS來認證客戶端和服務器,使得攻擊者更難冒充合法應用,它們還使用證書綁定令牌,防止令牌被盜成為有效的訪問方式。
這些并非理論上的改進,英國、歐洲和澳大利亞的開放銀行制度強制要求此類控制措施,英國的每家銀行都已實施,但在沒有監管壓力的行業,采用率仍然很低。
這創造了一個兩種速度的環境:一組企業將API視為核心業務基礎設施,并設有安全治理,而另一組企業則將其視為另一種開發者工具。Raidiam的企業戰略負責人David Oppenheim告訴記者:“盡管報告中的大多數企業在API安全方面落后,但那些已經前進的企業,如因法規要求而行動的銀行或自愿行動的全球卡方案,其規模和成熟度遠超落后者。”“這造成了風險態勢的鮮明對比。”
Oppenheim補充說,董事會層面的有效監督并不需要技術熟練度。“在這樣一個技術復雜的領域中,提出有意義的董事會層面指標可能很困難,但仍有有效的方法來指導監督和投資,董事應詢問已采用或計劃采用哪些公認的標準(如FAPI),以及企業是否應用了成熟度模型或框架來評估其當前態勢并跟蹤改進情況。”
他還提到了一個簡單的起點:“一個簡單但有力的KPI可能是仍依賴靜態密鑰或共享密鑰的API集成比例,以及轉向加密保護的遷移時間表。隨時間推移跟蹤減少情況,可以為非技術人員提供安全改進的可視性。”
結構性變革可能即將到來
到目前為止,API安全方面的最大改進要么來自直接監管,要么來自行業主導的強制要求,但其他方面的壓力也在增加。
“再次強調,企業規模起著關鍵作用,”Oppenheim說,“大型公司和基礎設施提供商已經在自愿前進——不僅在銀行業,還在支付和身份平臺上——因為他們將強大的API安全視為規模和信任的必要基礎。”
他補充說,合規的推動力正在顯現:“TLS基礎要求的變化將影響所有有數字足跡的企業,而像DORA這樣的法規正在推動對第三方風險的新期望——特別是對于暴露給外部合作伙伴的API而言。”
Oppenheim還看到更廣泛的架構趨勢在推動事情向前發展。“NIST零信任框架正開始成為許多企業尋求減少其數字環境中隱式信任的藍圖,在這種背景下,通過PKI或雙向TLS實現的強客戶端身份是向可防御、可驗證架構轉變的一部分。”
企業網D1net(m.hfnxjk.com):
國內頭部to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號