Imperva报告:API 漏洞导致全球企业每年损失750 亿美元

阅读量32548

发布时间 : 2024-03-21 11:03:02

Imperva最近发布的 一份 题为《 2024 年API安全 状况》的报告发现,大部分互联网流量(约 70%)来自 API 调用。因此,到 2023 年,企业网站平均每年处理约 15 亿次 API 调用,凸显了技术作为数字现代化“结缔组织”的作用。

通过 API 的巨大互联网流量应该引起每个安全专业人员的关注。尽管为实现左移框架和 SDLC 流程付出了所有努力,但 API 通常仍然在编目、认证和验证之前就已发布到生产中。

平均而言,组织在生产中拥有 613 个 API 端点,但随着更快、更高效地向客户提供数字服务的需求增长,这一数字正在快速增长。随着时间的推移,这些 API 可能会成为危险且易受攻击的端点。

Imperva 在其报告中得出结论,API 现在是网络犯罪分子的常见攻击媒介,因为它们提供了获取敏感数据的直接途径。例如, Marsh McLennan 网络风险分析中心与 Imperva 合作进行的 一项最新研究表明,与 API 相关的安全事件每年给全球企业造成 750 亿美元的损失。

2023 年,银行和在线零售领域的 API 调用数量最多,这使得金融服务成为 API 相关攻击的主要目标。网络犯罪分子使用多种方法攻击 API 访问点,包括帐户接管,他们利用 API 身份验证过程中的漏洞来获得对帐户的未经授权的访问。

糟糕的 API 管理给安全团队带来了独特的挑战,部分原因是软件开发速度快,以及开发人员和安全团队协作缺乏成熟的工具和流程。因此,由于管理不善、缺乏监控或身份验证控制不足,近十分之一的 API 很容易受到攻击。

为了降低与 API 管理不善相关的安全风险,建议定期审核以识别不受控制或未经身份验证的 API 访问点。持续监控可以帮助检测早期利用与这些接入点相关的漏洞的尝试。此外,开发人员应定期更新 API 并使之现代化,以确保及时用更安全的替代方案替换旧端点。

Imperva 提供了多项建议来提高组织的 API 安全性。其中,例如:

  • 发现、分类和清点所有 API、端点、参数和负载。使用持续检测来维护不断更新的 API 库存并识别敏感数据泄漏。
  • 识别并保护敏感和高风险 API。专门针对易受攻击的 API 端点进行风险评估,特别是那些容易受到授权和身份验证违规以及过度数据暴露的端点。
  • 为 API 端点建立强大的监控系统,以主动检测和分析可疑行为和访问模式。
  • 实施集成了 Web 应用程序防火墙 (WAF)、API 保护、DDoS 缓解和机器人程序保护的 API 安全方法。一套全面的缓解选项提供了灵活性和高级保护,以应对日益复杂的 API 威胁,例如业务逻辑攻击,这些攻击特别难以防御,因为它们对于每个 API 都是独一无二的。

所有这些措施都可以帮助组织提高其数字基础设施的安全性,并防止网络犯罪分子故意利用 API 中的漏洞进行潜在攻击。

随着 API 使用量的不断增长,强大的安全性和主动 API 管理对于防止数据泄露、意外财务损失和声誉损害的重要性变得更加明显。

本文转载自:

如若转载,请注明出处: https://www.securitylab.ru/news/546886.php

安全客 - 有思想的安全新媒体

分享到:微信
+14赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66