據(jù)Raidiam報(bào)告，大多數(shù)企業(yè)正通過(guò)未設(shè)置安全控制的API暴露敏感數(shù)據(jù)，而他們甚至可能尚未意識(shí)到這一點(diǎn)。

該報(bào)告基于對(duì)68家跨行業(yè)企業(yè)的詳細(xì)評(píng)估，報(bào)告故意排除了如英國(guó)開(kāi)放銀行等受監(jiān)管環(huán)境，因?yàn)樵谶@些環(huán)境中，高級(jí)安全措施是強(qiáng)制要求的，研究目的是了解那些沒(méi)有監(jiān)管壓力的典型企業(yè)如何保護(hù)其API，結(jié)果并不樂(lè)觀。

超過(guò)80%的企業(yè)落入了報(bào)告所稱的“急需行動(dòng)”類別，這些公司通過(guò)API處理高價(jià)值個(gè)人或支付數(shù)據(jù)，但使用的控制措施薄弱，如靜態(tài)API密鑰、長(zhǎng)期有效的承載令牌或基于共享密鑰的基本OAuth，在全部樣本中，只有一家企業(yè)部署了研究人員認(rèn)為的現(xiàn)代API安全堆棧，該堆棧依賴于客戶端證書(shū)認(rèn)證、發(fā)送方約束令牌和雙向TLS(mTLS)。

數(shù)據(jù)敏感性與安全態(tài)勢(shì)之間的差距是研究人員想要揭示的核心問(wèn)題，報(bào)告警告稱：“盡管大多數(shù)企業(yè)對(duì)API的依賴程度日益增加，但它們?cè)贏PI安全加固方面卻落后了。”

脆弱的基礎(chǔ)

API廣泛用于支持移動(dòng)應(yīng)用、云服務(wù)和合作伙伴集成，這意味著攻擊面已經(jīng)發(fā)生了變化，但安全實(shí)踐往往沒(méi)有跟上。如今，API處理從身份聲明、持卡人數(shù)據(jù)到健康和賬戶信息的所有內(nèi)容，然而，在許多企業(yè)中，它們?nèi)匀徊辉跇?biāo)準(zhǔn)安全計(jì)劃的范圍內(nèi)。

報(bào)告指出，只有27%的企業(yè)對(duì)其API暴露的敏感數(shù)據(jù)有可見(jiàn)性，不到一半的企業(yè)進(jìn)行API特定的安全測(cè)試，如模糊測(cè)試或動(dòng)態(tài)分析，監(jiān)控也缺乏，意味著攻擊者可能數(shù)周內(nèi)探測(cè)或?yàn)E用API而未被發(fā)現(xiàn)。

更佳實(shí)踐

Raidiam提出了加強(qiáng)API安全的路徑，其中大部分歸結(jié)為采用已在受監(jiān)管領(lǐng)域證明有效的實(shí)踐。例如，金融級(jí)API依賴雙向TLS來(lái)認(rèn)證客戶端和服務(wù)器，使得攻擊者更難冒充合法應(yīng)用，它們還使用證書(shū)綁定令牌，防止令牌被盜成為有效的訪問(wèn)方式。

這些并非理論上的改進(jìn)，英國(guó)、歐洲和澳大利亞的開(kāi)放銀行制度強(qiáng)制要求此類控制措施，英國(guó)的每家銀行都已實(shí)施，但在沒(méi)有監(jiān)管壓力的行業(yè)，采用率仍然很低。

這創(chuàng)造了一個(gè)兩種速度的環(huán)境：一組企業(yè)將API視為核心業(yè)務(wù)基礎(chǔ)設(shè)施，并設(shè)有安全治理，而另一組企業(yè)則將其視為另一種開(kāi)發(fā)者工具。Raidiam的企業(yè)戰(zhàn)略負(fù)責(zé)人David Oppenheim告訴記者：“盡管報(bào)告中的大多數(shù)企業(yè)在API安全方面落后，但那些已經(jīng)前進(jìn)的企業(yè)，如因法規(guī)要求而行動(dòng)的銀行或自愿行動(dòng)的全球卡方案，其規(guī)模和成熟度遠(yuǎn)超落后者。”“這造成了風(fēng)險(xiǎn)態(tài)勢(shì)的鮮明對(duì)比。”

Oppenheim補(bǔ)充說(shuō)，董事會(huì)層面的有效監(jiān)督并不需要技術(shù)熟練度。“在這樣一個(gè)技術(shù)復(fù)雜的領(lǐng)域中，提出有意義的董事會(huì)層面指標(biāo)可能很困難，但仍有有效的方法來(lái)指導(dǎo)監(jiān)督和投資，董事應(yīng)詢問(wèn)已采用或計(jì)劃采用哪些公認(rèn)的標(biāo)準(zhǔn)(如FAPI)，以及企業(yè)是否應(yīng)用了成熟度模型或框架來(lái)評(píng)估其當(dāng)前態(tài)勢(shì)并跟蹤改進(jìn)情況。”

他還提到了一個(gè)簡(jiǎn)單的起點(diǎn)：“一個(gè)簡(jiǎn)單但有力的KPI可能是仍依賴靜態(tài)密鑰或共享密鑰的API集成比例，以及轉(zhuǎn)向加密保護(hù)的遷移時(shí)間表。隨時(shí)間推移跟蹤減少情況，可以為非技術(shù)人員提供安全改進(jìn)的可視性。”

結(jié)構(gòu)性變革可能即將到來(lái)

到目前為止，API安全方面的最大改進(jìn)要么來(lái)自直接監(jiān)管，要么來(lái)自行業(yè)主導(dǎo)的強(qiáng)制要求，但其他方面的壓力也在增加。

“再次強(qiáng)調(diào)，企業(yè)規(guī)模起著關(guān)鍵作用，”O(jiān)ppenheim說(shuō)，“大型公司和基礎(chǔ)設(shè)施提供商已經(jīng)在自愿前進(jìn)——不僅在銀行業(yè)，還在支付和身份平臺(tái)上——因?yàn)樗麄儗?qiáng)大的API安全視為規(guī)模和信任的必要基礎(chǔ)。”

他補(bǔ)充說(shuō)，合規(guī)的推動(dòng)力正在顯現(xiàn)：“TLS基礎(chǔ)要求的變化將影響所有有數(shù)字足跡的企業(yè)，而像DORA這樣的法規(guī)正在推動(dòng)對(duì)第三方風(fēng)險(xiǎn)的新期望——特別是對(duì)于暴露給外部合作伙伴的API而言。”

Oppenheim還看到更廣泛的架構(gòu)趨勢(shì)在推動(dòng)事情向前發(fā)展。“NIST零信任框架正開(kāi)始成為許多企業(yè)尋求減少其數(shù)字環(huán)境中隱式信任的藍(lán)圖，在這種背景下，通過(guò)PKI或雙向TLS實(shí)現(xiàn)的強(qiáng)客戶端身份是向可防御、可驗(yàn)證架構(gòu)轉(zhuǎn)變的一部分。”