查看原文
其他

数世咨询《API安全研究报告2022》正式发布 附下载

金东东 数世咨询 2022-06-12


关于API


API(Application Programming Interface)较为通俗的解释是应用程序编程接口,由一组用于集成应用软件和服务的工具、定义和协议组合而成。


因API技术属于云原生代表性技术,并且API的应用与推广很大程度上依托于云计算的发展,数世咨询《数字安全能力图谱2021》将API 安全归纳于信息计算环境-云安全-云原生安全分类下。因目前API安全属于创新型市场,暂未形成较大份额,故没有单独分类。


图 1 数字安全能力图谱2021


数世咨询认为,API作为一种软件接口,主要用来实现应用程序之间的链接。在数字时代,由于敏捷性需求和微服务架构的发展,API具有的传输数据和提供能力两大功能,将是创新技术框架和商业模式的一大重要支撑。


发起背景


数字化的趋势是无法阻挡的,在数字时代,企业价值塑造需要由链条式转变为平台式。加之新冠疫情的影响,供应链的安全性和协作有效性、远程办公的紧迫性,也促使生态企业之间的整合逐渐加快了脚步。


为了应对数字时代的挑战,越来越多的企业已经在利用API的技术和经济模式来保证竞争力的延续。API不仅仅适用于云计算、物联网和大数据分析等数字化场景,它还可以帮助企业发掘并维系客户、构筑全新的业务生态。


然而,随着API巨大价值的体现,API攻击也呈现出指数级的增长趋势。据Gartner预测,“到2022年,API将成为网络攻击者利用最频繁的载体,而通过攻击API可以非授权使用企业的应用数据”。Gartner报告《Advance Your Platform-as-a-Service Security(25 August 2021)》已经明确地将API安全确立为保障PaaS安全的一个重要类别,该报告专注于指导企业如何提高PaaS的安全性,包括一个安全参考架构,显示了保护这些平台所需的内容,将API安全范畴独立于WAF和API网关,使其拥有了自己的功能分类。


虽然我们已经发现并且感知到,安全风险是阻碍企业数字化转型的最大障碍之一,但不得不重视的是,传统的安全技术被证明并不能有效地阻止API攻击,企业需要在现有防护基础之上的全新方法。


数世咨询认为,数字时代的API安全产品应该以API安全生命周期为线索,在解决协议覆盖、资产梳理以及攻击检测的基础上,通过深度学习的能力,精准描绘出业务逻辑和数据流向。通过对业务流量和数据的学习,整合安全资源,达到攻击预防、攻击阻断以及敏感数据泄漏防护的目的,最终实现API运行时防护的安全状态。


研究目的


本报告的核心,在于向用户展示一种适应于国内信息系统和商业市场环境,在现阶段可实际应用到生产环节和业务流程中的API安全参考框架。


通过调研和分析现阶段,我国API应用过程中的安全状况,结合国际方面对于API安全的研究,分析API在现代业务流程的塑造以及商业模式的变革中所发挥的巨大作用,分析API在数字时代可能面临的种种安全风险,结合已经被广泛应用的实践和理论,为用户展示API安全风险管控的理念。


数世咨询的核心理念为,数字时代、安全共生。希望通过本报告,能够切实解决用户在企业发展过程中出现的关于API安全的问题,实现数世咨询的第三方参考价值,帮助企业用户在数字浪潮之中屹立潮头。



关注本公众号,并回复“API安全研究报告2022”,可获得本报告全文PDF文件下载链接。



参考阅读

2021年度中国数字安全能力图谱(完全版)

数世咨询:EDR能力指南

数世咨询发布:威胁情报市场指南

《2021年浙江省网络安全产业统计报告》正式发布

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存