圖片來源:資安人
隨著 AI 和 AI 輔助開發工具的興起,API 的數量也相應增長。幾乎所有 AI人工智慧互動都建立在 API 基礎上,因此 2023 年與 AI 人工智慧相關的 API 預期將成長 96%,並在 2024 年持續增加。此外,隨著 API 的廣泛使用,特別是金融服務等領域的監管機構也開始鼓勵業者提升 API 透明度,這意味著資料隱私問題和法規將在 2024 年繼續影響 API 使用。
當 API 成為企業數位轉型的關鍵樞紐時,也成為駭客新的攻擊目標。專家預測, 2024 年針對 API 的攻擊數量恐將大幅增加。
API Security 最困難的地方在於,多數情況下,組織不知道駭客正在利用他們的 API,因為他們無法即時存取 API 資料,因此能協助組織進行有效控管的工具將變得更加重要。企業不僅要關心系統整體的安全性,也應加強關注 API 弱點,以防範可能的攻擊與對營運的影響。
API 漏洞的5大成因
近年台灣多次發生與 API 相關的駭客攻擊事件,顯示 API 安全已成為企業極需關注的重要議題。以下是導致 API 漏洞攻擊的 5 個主要原因:
- 資料洩漏風險:API 端點配置不當或未加密的資料傳輸方式可能導致機敏資料外洩。
- 權限過大問題:部分 API 被賦予過多權限,可能被利用進行未授權的活動。
- 殭屍端點(zombie endpoints)攻擊:未使用或未維護的 API 端點容易成為攻擊目標。
- 身份驗證漏洞:高達一半(51%)的 API 請求未使用任何身份驗證,使駭客能輕易冒充合法用戶進行攻擊。
- 跨站腳本和跨站請求偽造:未受防護的 API 容易受到 XSS 和 CSRF 攻擊。
API 安全機制不可或缺
API 可見性(observability)和治理(governance)將成為組織建構 API 的重要基礎,以了解 API 環境與安全態勢,進而建立應用程式開發流程、製定政策和標準。API 安全解決方案必須具有可擴充性,以適應小型和大型組織的需求;同時也應提供自動化功能,建立威脅偵測和告警規則,促進即時威脅偵測和快速事件回應。
應對新型態的資安挑戰, Imperva API Security 可提供企業所需的防護,確保企業的應用程式環境得到全面保護。Imperva API Security 預設的安全規則涵蓋 OWASP API Top 10 攻擊手法,並使用自動化的積極安全模型,同時採用 API Discovery 持續學習機制,會在 API 更新時不斷學習它們的結構,透過機敏資料的深度發現和分類來檢測所有公用、私有和影子 API,為所有 API 提供保護,並阻止漏洞利用來保護 API 免遭利用。
參考來源: