IDC认为,API作为数据流转和使用的重要通道,承载着十分重要的责任。同时,API的多样性、复杂性在不断增加,传统基于网络和主机边界安全的防护技术无法充分应对云计算和微服务技术下不断弹性部署的业务安全需要,许多用户在攻击事件发生后才意识到API风险。因此,API资产的全面梳理和安全防护成为市场的迫切需求,API的安全建设也成为企业数字化创新的基础保障。

IDC将API安全定义为专门为保护API通信免受误用、滥用和漏洞利用而设计的解决方案,其所提供的功能包括API资产发现、验证和执行,动态和自适应的流量监测和模式分析、检测和阻止威胁,例如恶意软件、漏洞利用、代码注入、机器人流量、DDoS攻击、欺诈和滥用等。目前API安全多以API安全网关、API安全管理平台等产品形式进行交付。

IDC认为,API的安全防护市场在中国还处于初步发展阶段,产品和技术能力还需进一步加强。目前,国内众多网络安全厂商、数据安全厂商、云计算服务商、专业的API安全厂商纷纷布局API安全市场,且各个厂商结合自己的技术积累和行业优势推出了各具特色的产品和解决方案。

IDC结合当前中国API安全市场发展现状及未来趋势,为技术买家提供以下几点建议:

  • DevSecOps帮助企业将安全融入到DevOps整体交付流程,从开始阶段就将安全列为优先事项。完整的API安全防护解决方案应从API开发和部署开始,运用SAST、DAST等手段在开发环节检验安全漏洞和错误配置的问题,帮助用户从根源上降低API安全风险。

  • API资产的发现与管理是做好API安全的基础,但仅靠安全团队人工梳理很难全面获取企业所有API资产信息及其应用状态。一方面需要相关业务部门的协同支持;另一方面,需要通过自动或半自动化的工具全面检测和识别企业网络中的各类API资产,并根据企业自有规则进行精细化分类管理。

  • API安全不仅需要关注API自身的暴露面和漏洞信息、API的访问权限精细化管理、日志监控缺失等问题,还需要监测通过API流转的数据是否存在违规调用、敏感数据泄露、数据篡改等数据安全问题,企业应结合自身业务需求,合理规划防护重点并选择匹配的技术提供商。

  • 对于业务部门来说,为了防护API安全而显著影响业务系统的响应速度是不可接受的。因此,企业在进行厂商能力评估时需要重点关注产品的性能表现,尤其是面向对通信速度有较高要求的业务系统提供API安全防护时,更要做好速度、功能、稳定性和一致性等多方面的平衡。

IDC中国网络安全市场研究经理赵卫京认为,在当下应用程序蓬勃发展的时代,API已经成为应用程序连接、创新的基础,是现代通信应用的重要组成部分。然而,API连接数据、内容的属性在给技术服务提供商和企业带来便利的同时,也开始被众多攻击者关注,非授权访问、数据篡改与窃取、分布式拒绝服务攻击、SQL注入等成为了攻击者运用API进行攻击的常用手段,API安全已经成为了一个重要的数据安全、应用安全子领域。

声明:本文来自IDC咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。