谷歌云：API 安全性：最新数据洞见和主要趋势（13页）.pdf

《谷歌云：API 安全性：最新数据洞见和主要趋势（13页）.pdf》由会员分享，可在线阅读，更多相关《谷歌云：API 安全性：最新数据洞见和主要趋势（13页）.pdf（13页珍藏版）》请在三个皮匠报告上搜索。

1、API 安全性：最新数据洞见和主要趋势 2022 年研究报告 API 安全性对企业的创新进度有何影响，以及 IT 主管正在采取哪些措施来降低风险 2022 Google LLC。保留所有权利 2 目录目录 内容提要 3 威胁无处不在 4 影响创新进度 5 采取积极的 API 安全保障措施势在必行 6 现状评估 7 充满信心应对安全威胁 7 信心是否盲目？8 企业将积极应对 API 安全性视为要务 8 发展机遇 9 整合、端到端监控、监督必不可少 9 这一领域需要更多培训和认证 9 大多数组织都认同其安全策略需要改进 10 并非所有组织都将 API 安全策略视为头等要务 11 API 管理解决方

2、案和 API 网关解决方案的影响 11 API 安全性是 API 宏观策略 的关键一环12 2022 Google LLC。保留所有权利 3 内容提要内容提要 随着数字体验的采用率不断攀升，应用编程接口（或称 API）的使用也愈加广泛。这使得 API 成为全球组织在安全方面的一个重要漏洞领域。本报告审视了 API 安全领域存在的威胁以及这些威胁对创新进度的影响，深入探讨了技术领导者对 API 安全状况和策略的总体观点，并就组织可以利用哪些机会来提升 API 安全性提供了思路。报告基于 Google Cloud 在 2022 年 5 月到 6 月期间开展的一项调查研究，调查对象为对组织购买 AP

3、I 计划相关技术解决方案具有重要影响或决定权的技术主管，他们均来自于至少有 1,500 名员工的美国公司。其中，“API 安全性是 API 宏观策略的关键一环”章节中指出，由于威胁无处不在，API 安全现状越来越受 IT 高管的关注，但是大多数组织的 API 安全策略仍然有待改进。这就需要组织采用主动的安全功能和措施，以及端到端 API 安全解决方案，比如全生命周期 API 管理平台“Apigee”。2022 Google LLC。保留所有权利 4 威胁现状威胁现状 威胁无处不在 世界各地的公司主要依赖应用编程接口（或称 API）来实现数字体验，以及释放自有数据和流程的潜能。API 是组织融合

4、专有数据与第三方资产的关键一环。同时它也对于实现应用现代化，助推互操作性，进而打造高效的功能，起着至关重要的作用。但是，API 的普及和日趋重要也给组织带来了风险。作为把守大量信息和系统的门户，API 已经成为黑客们趋之若鹜的目标。我们的研究证实了这些威胁的广泛影响。我们对美国的 500 多位技术主管开展了一项调查。有半数的技术主管表示，他们在过去 12 个月内曾遇到过 API 安全事件。这一比例会因受访对象不同而上下波动。62%受访的企业最高管理层表示，他们在过去 12 个月内曾遇到过安全事件，而这一比例在其他中级管理层中仅有 37%。这可能说明履行相关职能的 IT 团队的职权范围有限，也可

5、能揭示了对负有更大责任的高管来说，问题已经表露无疑。或者，两者兼有。API 安全事件 2022 Google LLC。保留所有权利 5 更为严重的是，威胁来自于为数众多的 API 安全领域，平均每个 IT 主管都确定了三个以上的领域。虽然没有哪个领域特别突出，但有三个最为常见的潜在威胁来源，分别是安全配置错误、过时的 API/数据/组件以及爬虫程序/垃圾邮件/滥用。配置错误是其中占比最高的一个威胁领域，有五分之二的 IT 主管选择了安全配置错误或配置有误的 API。API 安全威胁的来源 影响创新进度 这些威胁和安全事件带来了切实的影响。API 安全性正在拖慢许多组织的创新步伐。半数以上(53

6、%)的组织因 API 安全问题而推迟发布新的服务或应用。在过去 12 个月内遇到过安全事件的组织中，超过四分之三(77%)的组织推迟了发布其新服务或新应用。因 API 安全问题而推迟发布新的服务或应用 2022 Google LLC。保留所有权利 6 采取积极的 API 安全保障措施势在必行 在整个开发过程中，会引入来自各种来源的安全漏洞，这无疑导致在 API 生命周期的每一个阶段（从设计、测试到部署等等）都不乏安全问题的影子。不难想象，作为发布管理流程一环的测试阶段，安全问题在此时最常见(67%)；不过在从部署到生产的整个过程中往往也会发现大量漏洞(64%)。这表明可能会存在将漏洞部署到生产

7、环境中的风险，因为有相当一部分可能的安全问题是在 API 生命周期的后期阶段发现的。值得注意的是，有五分之三(62%)的 IT 主管通过实时监控发现了生产环境中的问题和漏洞。这说明在这种环境下，采取积极的安全保障措施是极其必要的。在 API 生命周期的不同阶段，发现了 API 安全问题和漏洞 2022 Google LLC。保留所有权利 7 现状评估现状评估 充满信心应对安全威胁 面对不稳定的 API 威胁现状，大多数组织都认为自身拥有合适的工具和解决方案来确保实现端到端 API 安全性。事实上，有超过四分之三(77%)的受访者表示他们拥有必要的工具和解决方案，另有 16%的受访者表示他们拥有

8、实现端到端 API 安全性所需要的部分工具和解决方案，只有极少数受访者表示自己没有所需要的工具。更有意思的是，大多数技术主管(66%)都将其安全策略评为高阶。这也就是说，他们相信自己拥有全面、集中且表现卓越的 API 安全中心，并认为其组织的安全工具和解决方案不存在任何方面的脱节。部分群体对自身的安全现状比其他群体更有信心。下列群体将其 API 安全性评为高阶：云原生(71%)混合云环境(71%)IT 高管(71%)过去 12 个月内遇到过安全事件(71%)给 API 安全现状评分为“高阶”的比例 2022 Google LLC。保留所有权利 8 信心是否盲目？现实的安全问题与调査中人们对安全

9、工具的信心之间似乎存在着差距。这是不是因为组织忽视了屡见不鲜的安全事件（去年有 50%的组织遇到过安全事件），以及 API 安全性对组织创新步伐的影响（去年有 53%的组织推迟产品/服务发布）？抑或只是将安全事件视为在数字领域营商的代价而选择默默接受？现实可能介于两者之间。有些组织可能低估了安全威胁及其对组织的影响程度，或者说他们可能清楚地认识到，API 安全性是不断发展演变的，而安全威胁是演变中不可避免的。企业将积极应对 API 安全性视为要务 为了提前预防安全威胁，许多组织开始寻找相关的解决方案来帮助他们主动出击，同时尽可能减轻安全团队的负担。我们的研究表明，在大部分 IT 主管明年的愿望

10、清单中，能够主动识别安全威胁的功能(60%)和能够提升自动化的功能(57%)高居前两名。然而，大多数 IT 主管还没有准备好或不愿意优先将人工智能和机器学习技术整合到其 API 安全机制中。API 安全技术优先级 2022 Google LLC。保留所有权利 9 发展机遇发展机遇 整合、端到端监控、监督必不可少 那么，IT 主管到底希望 API 安全解决方案为他们提供哪些帮助，使其从容应对威胁的挑战和接连不断的漏洞，从而轻松度过 API 生命周期的每个阶段？抛开一些显而易见的因素不谈，比如能与现有工具轻松集成和支持最新技术，在评估 API 安全解决方案时，整合能力以及端到端解决方案也是一些很重

11、要的考虑因素。这一点对高管层的直接下属(C-1)尤其重要。虽然高管层自己更为关注与现有 API 工具的轻松集成，但其下一级管理人员还希望找到更广泛的解决方案，以便同时解决多个问题。在评估 API 安全解决方案时，高管层往往会比 C-1 级管理人员更重视第三方的建议，而 C-1 级管理人员则较为看重采用最新技术、专为云原生安全性构建的解决方案。除此之外，相比单点解决方案，相当大一部分 C-1 级管理人员更青睐整合的 API 安全解决方案。评估 API 安全解决方案时的考虑因素（前 5 名）这一领域需要更多培训和认证 除了技术解决方案之外，许多组织还希望进行培训和程序方面的改进，以便更好地抵御威胁

12、。在 API 安全性方面，组织的主要优先事项包括制定 API 安全性学习和认证标准(38%)、完善文档以将安全最佳实践纳入其中(38%)，以及修改现有流程以捕捉 API 安全问题和漏洞问题(37%)。不过，即使 IT 主管们在提高 API 安全性方面往往持开放接纳态度，他们却没有一个明显具有优势的方案。2022 Google LLC。保留所有权利 10 大多数组织都认同其安全策略需要改进 根据我们的研究，大多数组织都未制定全面的 API 安全策略。大部分(60%)受访组织表示，他们的策略至少需要改进。API 安全策略现状 与其他安全领域一样，高管级的 IT 主管与其下一级的 IT 管理人员(C

13、-1)之间的看法也存在着轻微脱节。在本次调查中，53%的高管层表示其组织的 API 安全策略需要改进。而在其下一级的管理人员(C-1)中，这一数字增加到了 61%；对于这两级以外的其他管理人员(C-2)，该数字增加到了 69%。API 安全策略需要改进 2022 Google LLC。保留所有权利 11 并非所有组织都将 API 安全策略视为头等要务 虽然许多组织仅仅是因为缺乏足够的资源和技能而无法实施全面的安全策略，但这些组织中的 IT 主管却常常会觉得，是因为组织没有将 API 安全性视为优先事项。这可能会在安全团队内部引发一些敌意情绪。即便是有些有计划的组织，他们也可能会在组织内分散执行

14、 API 安全解决方案，并往往将职责分配给不同的团队。事实上，不同公司的 API 安全职责常常会因他们的需求、行业和公司结构而异。API 管理解决方案和 API 网关解决方案的影响 超过四分之三(78%)的组织表示，他们在整个组织范围内实施了 API 管理/API 网关解决方案。这些组织往往不太可能认为其安全策略需要改进(52%)，他们更有可能拥有一个全面、集中且表现卓越的 API 安全中心(74%)，并且更可能会认为自身拥有必要的工具和解决方案来确保实现端到端 API 安全性(91%)。在组织范围内实施 API 管理(APIM)解决方案的公司 2022 Google LLC。保留所有权利 1

15、2 API 安全性是 API 宏观策略 的关键一环 针对 API 的攻击很常见，但并不一定都会导致安全事件。端到端解决方案可以帮助组织识别和保护易受攻击的 API 安全领域，例如配置错误，以及过时的 API、数据和组件。虽然单点解决方案也可以提供部分解决办法，但很明显，考虑到 API 生命周期中的攻击广度和漏洞的多样性，组织需要一个全面的解决方案，才能避免推迟产品/服务发布以及阻碍创新步伐。为确保实现长期的 API 安全性，组织需要优先制定一个宏观的 API 管理计划，并尽可能制定覆盖全组织的 API 策略。2022 Google LLC。保留所有权利 13 Apigee API 管理平台简介 Google Cloud 的 Apigee API 管理平台可提供涵盖整个生命周期的 API 管理，从而帮助企业发掘数据价值并安全提供现代化的应用和数字体验。为使企业能够控制和了解 API 流量，Apigee 提供了丰富的功能，包括自动排查并解决问题的功能，以及从 API 使用情况中获得分析洞见的功能。您希望了解更多内容吗？请访问 向 发邮件，直接联系我们。