谷歌云：API 安全性：數(shù)據(jù)洞見和主要趨勢

API安全性：最新數(shù)據(jù)洞見和主要趨勢2022年研究報告API安全性對企業(yè)的創(chuàng)新進(jìn)度有何影響，以及IT主管正在采取哪些措施來內(nèi)容提要威脅無處不在4影響創(chuàng)新進(jìn)度采取積極的API安全保障措施勢在必行6現(xiàn)狀評估7充滿信心應(yīng)對安全威脅7信心是否盲目？8企業(yè)將積極應(yīng)對API安全性視為要務(wù)8發(fā)展機(jī)遇9整合、端到端監(jiān)控、監(jiān)督必不可少9這一領(lǐng)域需要更多培訓(xùn)和認(rèn)證9大多數(shù)組織都認(rèn)同其安全策略需要改進(jìn)10并非所有組織都將API安全策略視為頭等要務(wù)11API管理解決方案和API網(wǎng)關(guān)解決方案的影響11的關(guān)鍵一環(huán)?2022GoogleLLC。保留所有權(quán)利2隨著數(shù)字體驗的采用率不斷攀升，應(yīng)用編程接口（或稱API）的使用也愈加廣泛。這使得API成為全球組織在安全方面的一個重要漏洞領(lǐng)域。本報告審視了API安全領(lǐng)域存在的威脅以及這些威脅對創(chuàng)新進(jìn)度的影響，深入探討了技術(shù)領(lǐng)導(dǎo)者對API安全狀況和策略的總體觀點，并就組織可以利用哪些機(jī)會來提升API安報告基于GoogleCloud在2022年5月到6月期間開展的一項調(diào)查研究，調(diào)查對象為對組織購買API計劃相關(guān)技術(shù)解決方案具有重要影響或決定權(quán)的技術(shù)主管，他們均來自于至少有1,500名員工的美國公司。其中，“API安全性是API宏觀策略的關(guān)鍵一環(huán)”章節(jié)中指出，由于威脅無處不在，API安全現(xiàn)狀越來越受IT高管的關(guān)注，但是大多數(shù)組織的API安全策略仍然以及端到端API安全解決方案，比如全生命周期API管理平臺“Apigee”。?2022GoogleLLC。保留所有權(quán)利3威脅現(xiàn)狀威脅無處不在世界各地的公司主要依賴應(yīng)用編程接口（或稱API）來實現(xiàn)數(shù)字體驗，以及釋放自有數(shù)據(jù)和流程的潛能。API是組織融合專有數(shù)據(jù)與第三方資產(chǎn)的關(guān)鍵一環(huán)。同時它也對于實現(xiàn)應(yīng)用現(xiàn)代化，助但是，API的普及和日趨重要也給組織帶來了風(fēng)險。作為把守大量信息和系統(tǒng)的門戶，API已經(jīng)成為黑客們趨之若鶩的目標(biāo)。我們的研究證實了這些威脅的廣泛影響。我們對美國的500多位技術(shù)主管開展了一項調(diào)查。有半數(shù)的技術(shù)主管表示，他們在過去12個月內(nèi)曾遇到過API安全事件。這一比例會因受訪對象不同而上下波動。62%受訪的企業(yè)最高管理層表示，他們在過去12個月內(nèi)曾遇到過安全事件，而這一比例在其他中級管理層中僅有37%。了對負(fù)有更大責(zé)任的高管來說，問題已經(jīng)表露無疑?；蛘撸瑑烧?2022GoogleLLC。保留所有權(quán)利4更為嚴(yán)重的是，威脅來自于為數(shù)眾多的API安全領(lǐng)域，平均每個的領(lǐng)域。雖然沒有哪個領(lǐng)域特別突出，但有三個最為常見的潛在威脅置錯誤、過時的API/數(shù)據(jù)/組件以及爬蟲程序/垃圾郵件/濫用。配置錯誤是其中占比最高的一個威脅領(lǐng)域，有置有誤的API。影響創(chuàng)新進(jìn)度這些威脅和安全事件帶來了切實的影響。API安全性正在拖慢許多組織的創(chuàng)新步伐。半數(shù)以上(53%)的組織因API安全問題而推遲發(fā)布新的服務(wù)或應(yīng)用。在過去12個月內(nèi)遇到過安全事件的組織中，超過四分之三(77%)的組織推遲了因API安全問題而推遲發(fā)布新的服務(wù)或應(yīng)用?2022GoogleLLC。保留所有權(quán)利5采取積極的API安全保障措施勢在必行在整個開發(fā)過程中，會引入來自各種來源的安全漏洞，這無疑導(dǎo)致在API生命周期的每一個階段（從設(shè)計、測試到部署等等）都不乏安全問題的影子。不難想象，作為發(fā)布管理流程一環(huán)的測試階段，安全問題在此時最常見(67%)；不過在從部署到生產(chǎn)的整個過程中往往也會發(fā)現(xiàn)大量漏洞(64%)。這表明可能會存在將漏洞部署到生產(chǎn)環(huán)境中的風(fēng)險，因為有相當(dāng)一部分可能的安全問題是在API生命周期的后期階段發(fā)現(xiàn)的。值得注意的是，有五分之三(62%)的IT主管通過實時監(jiān)控發(fā)現(xiàn)了生產(chǎn)環(huán)境中的問題和漏洞。這說明在這種環(huán)境下，采取積極的安全保障措施是極其必要的。?2022GoogleLLC。保留所有權(quán)利6現(xiàn)狀評估充滿信心應(yīng)對安全威脅面對不穩(wěn)定的API威脅現(xiàn)狀，大多數(shù)組織都認(rèn)為自身擁有合適的工具和解決方案來確保實現(xiàn)端到端API安全性。事實上，有超過四分之三(77%)的受訪者表示他們擁有必要的工具和解決方另有16%的受訪者表示他們擁有實現(xiàn)端到端API安全性所需要的部分工具和解決方案，只有極少數(shù)受訪者表示自己沒有更有意思的是，大多數(shù)技術(shù)主管(66%)都將其安全策略評為高階。這也就是說，他們相信自己擁有全面、集中且表現(xiàn)卓越的API安全中心，并認(rèn)為其組織的安全工具和解決方案不存在任何部分群體對自身的安全現(xiàn)狀比其他群體更有信心。下列API安全性評為高階：●過去12個月內(nèi)遇到過安全事件(71%)?2022GoogleLLC。保留所有權(quán)利7現(xiàn)實的安全問題與調(diào)査中人們對安全工具的信心之間似乎存在著差距。這是忽視了屢見不鮮的安全事件（去年有50%的組織遇到過安全事件），以及API安全性對組織創(chuàng)新步伐的影響（去年有53%的組織推遲產(chǎn)品/服務(wù)發(fā)布抑或只是將安全事件視為現(xiàn)實可能介于兩者之間。有些組織可能低估了安全威脅及其對組織的影響程們可能清楚地認(rèn)識到，API安全性是不斷發(fā)展演變的，而安全威脅是演變中不可避企業(yè)將積極應(yīng)對API安全性視為要務(wù)為了提前預(yù)防安全威脅，許多組織開始尋找相關(guān)的解決方案來幫助他們可能減輕安全團(tuán)隊的負(fù)擔(dān)。我們的研究表明，動識別安全威脅的功能(60%)和能夠提升自動化的功能(57%)高居前兩名。然而，大多數(shù)IT主管還沒有準(zhǔn)備好或不愿意優(yōu)先將人工智能和機(jī)器學(xué)習(xí)技術(shù)整合到其API?2022GoogleLLC。保留所有權(quán)利8發(fā)展機(jī)遇整合、端到端監(jiān)控、監(jiān)督必不可少那么，IT主管到底希望API安全解決方案為他們提供哪些幫助，使其從容應(yīng)對威和接連不斷的漏洞，從而輕松度過API生命周期的每個階段？拋開一些顯而易見的因素不談，比如能與現(xiàn)有工具輕松集成和支持最新技術(shù)，在評估API安全解決方案時，整合能力以及端到端解決方案也是一些很重要的考慮因素。這一管層的直接下屬(C-1)尤其重要。雖然高管層自己更為關(guān)注與現(xiàn)有API工但其下一級管理人員還希望找到更廣泛的解決方案，以便同時解決多個問題。級管理人員則較為看重采用最新技術(shù)、專為云原生安全性構(gòu)建的解決方案。除此之外，評估API安全解決方案時的考慮因素（前5名）這一領(lǐng)域需要更多培訓(xùn)和認(rèn)證除了技術(shù)解決方案之外，許多組織還希望進(jìn)行培訓(xùn)和程序方面脅。在API安全性方面，組織的主要優(yōu)先事項包括制定API安全性學(xué)習(xí)和認(rèn)證標(biāo)準(zhǔn)(38%)、完善文檔以將安全最佳實踐納入其中(38%)，以及修改現(xiàn)有流程以捕捉API安全問題和漏洞問題(37%)。不過，即使IT主管們在提高API安全性方面往往持開放接納態(tài)度，他們卻沒有一個明顯具有優(yōu)勢的方案。?2022GoogleLLC。保留所有權(quán)利9大多數(shù)組織都認(rèn)同其安全策略需要改進(jìn)根據(jù)我們的研究，大多數(shù)組織都未制定全面的API安全策略。大部分(60%)受訪組織他們的策略至少需要改進(jìn)。著輕微脫節(jié)。在本次調(diào)查中，53%的高管層表示其組織的API安全策略需要改進(jìn)。而在其下一級的管理人員(C-1)中，這一數(shù)字增加到了2)，該數(shù)字增加到了69%。?2022GoogleLLC。保留所有權(quán)利10并非所有組織都將API安全策略視為頭等要務(wù)雖然許多組織僅僅是因為缺乏足夠的資源和技能而無法沒有將API安全性視為優(yōu)先事項。這可能會在安全團(tuán)隊內(nèi)部引發(fā)一些敵意情緒。即便是有些有計劃的組織，他們也可能會在組織內(nèi)分散執(zhí)行API安全解決方案，并往往將職責(zé)分配給不同的團(tuán)隊。事實上，的API安全職責(zé)常常會因他們的需求、行業(yè)和公司結(jié)構(gòu)而異。API管理解決方案和API網(wǎng)關(guān)解決方案的超過四分之三(78%)的組織表示，他們在整個組織范圍內(nèi)實施了API管理/API網(wǎng)關(guān)解決方案。這些組織往往不太可能認(rèn)為其安全策略需要改進(jìn)(52%)，他們更有可能擁有一個全面、集中且表現(xiàn)卓越的API安全中心(74%)，并且更可能會認(rèn)為自身擁有必要的工具和解決方案來確保實現(xiàn)端API安全性(91%)。?2022GoogleLLC。保留所有權(quán)利11的關(guān)鍵一環(huán)針對API的攻擊很常見，但并不一定都會導(dǎo)致安全事件。端到端解決方案可以幫助組織