Google推出Advanced API Security 保護(hù)API免受安全威脅

Google今天宣布了Advanced API Security的預(yù)覽版，這是Google Cloud的一個(gè)新產(chǎn)品，旨在檢測(cè)與API有關(guān)的安全威脅。該公司表示，在Google API管理平臺(tái)Apigee的基礎(chǔ)上，客戶可以從今天開始申請(qǐng)?jiān)L問(wèn)。API是"應(yīng)用程序編程接口"的簡(jiǎn)稱，是計(jì)算機(jī)之間或計(jì)算機(jī)程序之間的文件連接。

API這一概念從發(fā)明之后就一路上升，一項(xiàng)調(diào)查發(fā)現(xiàn)，超過(guò)61.6%的開發(fā)者在2021年比2020年更依賴API。但它們也越來(lái)越成為攻擊的目標(biāo)。根據(jù)網(wǎng)絡(luò)安全廠商Imperva委托的一份2018年報(bào)告，三分之二的組織正在向公眾和合作伙伴暴露不安全的API。

Advanced API Security專門從事兩項(xiàng)工作：識(shí)別API錯(cuò)誤配置和檢測(cè)機(jī)器人。該服務(wù)定期評(píng)估管理的API，并在檢測(cè)到配置問(wèn)題時(shí)提供建議的行動(dòng)，它還使用預(yù)先配置的規(guī)則提供一種方法來(lái)識(shí)別API流量中的惡意機(jī)器人。每條規(guī)則代表來(lái)自一個(gè)IP地址的不同類型的異常流量；如果一個(gè)API流量模式符合任何規(guī)則，Advanced API Security就會(huì)將其報(bào)告為機(jī)器人訪問(wèn)。

"配置錯(cuò)誤的API是造成API安全事件的主要原因之一。雖然識(shí)別和解決API錯(cuò)誤配置是許多組織的首要任務(wù)，但配置管理過(guò)程很耗時(shí)，需要相當(dāng)多的資源，"Google云產(chǎn)品負(fù)責(zé)人Vikas Ananda在公告前與TechCrunch分享的一篇博文中說(shuō)。"高級(jí)API安全使API團(tuán)隊(duì)更容易識(shí)別不符合安全標(biāo)準(zhǔn)的API代理……此外，Advanced API Security通過(guò)識(shí)別成功導(dǎo)致HTTP 200 OK成功狀態(tài)響應(yīng)代碼的機(jī)器人，加快了識(shí)別數(shù)據(jù)泄露的過(guò)程。"

隨著Advanced API Security的推出，Google顯然在尋求加強(qiáng)Apigee旗下的安全產(chǎn)品，它在2016年以超過(guò)5億美元的價(jià)格收購(gòu)了Apigee。但該公司也在應(yīng)對(duì)API安全領(lǐng)域日益激烈的競(jìng)爭(zhēng)。提供以API為重點(diǎn)的網(wǎng)絡(luò)安全產(chǎn)品的初創(chuàng)公司包括Salt Security、Noname Security和Neosec。許多成熟的供應(yīng)商近年來(lái)也擴(kuò)大了他們的產(chǎn)品，包括Barracuda、Akamai、42Crunch、Traceable、Ping Identity和Signal Sciences。

3月，Cloudflare推出了一個(gè)新的網(wǎng)關(guān)，旨在提高API安全性。而在5月，Imperva收購(gòu)了API安全公司CloudVector。

雖然這些產(chǎn)品的性能比較起來(lái)還沒(méi)有定論，但API攻擊的威脅是真實(shí)存在并日益增長(zhǎng)的。在過(guò)去幾個(gè)月里，Peloton、Parler甚至LinkedIn等公司都成為了API驅(qū)動(dòng)的攻擊的受害者。他們并不是唯一的受害者。根據(jù)Cloudentity最近的一項(xiàng)研究，44%的公司經(jīng)歷了與隱私、數(shù)據(jù)泄漏和面向內(nèi)部和外部的API的對(duì)象財(cái)產(chǎn)暴露有關(guān)的"實(shí)質(zhì)性"API授權(quán)問(wèn)題。