主要挑战在于各类 API 快速且往往不受控的增长,这些 API 在构建时通常更注重速度,而不是安全性。当今的攻击面充斥着各种开发仓促、测试不足且在发布时便存在配置和编码错误等漏洞的 API,正是此等问题导致它们频繁沦为攻击目标。
为什么选择 Akamai
API 扩大了攻击面:API 在各类应用程序、云服务和数字供应链中的快速扩张使其成为了攻击者的主要目标。鉴于过去一年中 84% 的企业曾遭遇 API 安全事件,传统安全工具已不足以应对当前威胁。企业需要更好地监测 API 及其所带来的风险,同时结合采用专为 API 威胁构建的安全控制措施。
监测能力是 API 安全的基石:无法清晰持续掌握 API 全貌的企业,往往难以发现那些未受管理、遭遗忘且缺乏有效防护的 API 接口。此外,在拥有完整 API 清单的企业中,仅有 27% 清楚哪些 API 会返回敏感数据。更强大的 API 发现和态势管理功能可以助企业一臂之力。
专为保护 API 安全而打造的威胁检测和抵御功能:各企业还需要更深入的功能来检测和应对 API 滥用及攻击,包括 OWASP 十大 API 安全风险中详细介绍的各种威胁。在这份白皮书中,您将了解 11 个 API 安全关键功能,包括:
持续的 API 发现和态势管理
可视化 API 行为,包括敏感数据访问
通过与用户实体相关的背景信息发现 API 滥用尝试
专注于安全性的严格实时 API 测试
持续的 API 发现和态势管理之所以至关重要,是因为它们能确保您实时掌握您环境中所有 API 的完整清单,并对敏感数据泄露等相关风险进行全面的分析。这种监测能力对于识别和保护僵尸和影子 API 等未加管控的 API 十分关键,如若放任不管,这些 API 可能酿成重大风险。
API 行为可视化可针对 API 的使用或滥用情况提供清晰、切实可行的视图,为安全团队提供帮助。借助这个功能,安全、开发和运营领域的利益相关者能够高效沟通并调查案例,确保迅速识别并处理任何可疑活动。
企业可以在开发过程中采用左移方法来进行 API 测试,发现并解决 API 漏洞。核心功能包括:运行模拟恶意流量(包括 OWASP 十大 API 安全风险中涵盖的类型)的自动化测试。
攻击者置信度引擎可以使用经过训练的先进机器学习算法来评估外部和内部信号,包括 API 行为、网络流量模式、地理位置数据、威胁情报源和其他背景因素,以确定所检测到的运行时事件确实是由恶意活动引起的置信度。