網(wǎng)絡(luò)安全、數(shù)據(jù)安全與業(yè)務(wù)安全的交匯點,中國API安全市場洞察報告發(fā)布
IDC認(rèn)為,API作為數(shù)據(jù)流轉(zhuǎn)和使用的重要通道,承載著十分重要的責(zé)任。同時,API的多樣性、復(fù)雜性在不斷增加,傳統(tǒng)基于網(wǎng)絡(luò)和主機邊界安全的防護技術(shù)無法充分應(yīng)對云計算和微服務(wù)技術(shù)下不斷彈性部署的業(yè)務(wù)安全需要,許多用戶在攻擊事件發(fā)生后才意識到API風(fēng)險。因此,API資產(chǎn)的全面梳理和安全防護成為市場的迫切需求,API的安全建設(shè)也成為企業(yè)數(shù)字化創(chuàng)新的基礎(chǔ)保障。
本文引用地址:http://m.butianyuan.cn/article/202301/442765.htmIDC將API安全定義為專門為保護API通信免受誤用、濫用和漏洞利用而設(shè)計的解決方案,其所提供的功能包括API資產(chǎn)發(fā)現(xiàn)、驗證和執(zhí)行,動態(tài)和自適應(yīng)的流量監(jiān)測和模式分析、檢測和阻止威脅,例如惡意軟件、漏洞利用、代碼注入、機器人流量、DDoS攻擊、欺詐和濫用等。目前API安全多以API安全網(wǎng)關(guān)、API安全管理平臺等產(chǎn)品形式進行交付。
IDC認(rèn)為,API的安全防護市場在中國還處于初步發(fā)展階段,產(chǎn)品和技術(shù)能力還需進一步加強。目前,國內(nèi)眾多網(wǎng)絡(luò)安全廠商、數(shù)據(jù)安全廠商、云計算服務(wù)商、專業(yè)的API安全廠商紛紛布局API安全市場,且各個廠商結(jié)合自己的技術(shù)積累和行業(yè)優(yōu)勢推出了各具特色的產(chǎn)品和解決方案。
IDC結(jié)合當(dāng)前中國API安全市場發(fā)展現(xiàn)狀及未來趨勢,為技術(shù)買家提供以下幾點建議:
● DevSecOps幫助企業(yè)將安全融入到DevOps整體交付流程,從開始階段就將安全列為優(yōu)先事項。完整的API安全防護解決方案應(yīng)從API開發(fā)和部署開始,運用SAST、DAST等手段在開發(fā)環(huán)節(jié)檢驗安全漏洞和錯誤配置的問題,幫助用戶從根源上降低API安全風(fēng)險。
● API資產(chǎn)的發(fā)現(xiàn)與管理是做好API安全的基礎(chǔ),但僅靠安全團隊人工梳理很難全面獲取企業(yè)所有API資產(chǎn)信息及其應(yīng)用狀態(tài)。一方面需要相關(guān)業(yè)務(wù)部門的協(xié)同支持;另一方面,需要通過自動或半自動化的工具全面檢測和識別企業(yè)網(wǎng)絡(luò)中的各類API資產(chǎn),并根據(jù)企業(yè)自有規(guī)則進行精細(xì)化分類管理。
● API安全不僅需要關(guān)注API自身的暴露面和漏洞信息、API的訪問權(quán)限精細(xì)化管理、日志監(jiān)控缺失等問題,還需要監(jiān)測通過API流轉(zhuǎn)的數(shù)據(jù)是否存在違規(guī)調(diào)用、敏感數(shù)據(jù)泄露、數(shù)據(jù)篡改等數(shù)據(jù)安全問題,企業(yè)應(yīng)結(jié)合自身業(yè)務(wù)需求,合理規(guī)劃防護重點并選擇匹配的技術(shù)提供商。
● 對于業(yè)務(wù)部門來說,為了防護API安全而顯著影響業(yè)務(wù)系統(tǒng)的響應(yīng)速度是不可接受的。因此,企業(yè)在進行廠商能力評估時需要重點關(guān)注產(chǎn)品的性能表現(xiàn),尤其是面向?qū)νㄐ潘俣扔休^高要求的業(yè)務(wù)系統(tǒng)提供API安全防護時,更要做好速度、功能、穩(wěn)定性和一致性等多方面的平衡。
分析師觀點
IDC中國網(wǎng)絡(luò)安全市場研究經(jīng)理趙衛(wèi)京認(rèn)為,在當(dāng)下應(yīng)用程序蓬勃發(fā)展的時代,API已經(jīng)成為應(yīng)用程序連接、創(chuàng)新的基礎(chǔ),是現(xiàn)代通信應(yīng)用的重要組成部分。然而,API連接數(shù)據(jù)、內(nèi)容的屬性在給技術(shù)服務(wù)提供商和企業(yè)帶來便利的同時,也開始被眾多攻擊者關(guān)注,非授權(quán)訪問、數(shù)據(jù)篡改與竊取、分布式拒絕服務(wù)攻擊、SQL注入等成為了攻擊者運用API進行攻擊的常用手段,API安全已經(jīng)成為了一個重要的數(shù)據(jù)安全、應(yīng)用安全子領(lǐng)域。
評論