API驅動全球大部分網路流量 駭客趁虛而入

編譯/Cynthia

應用程式介面(Application Programming Interface,API)是串接各應用程式與資料庫的關鍵,是推動數位化關鍵之一。美國網路安全公司Imperva報告指出,絕大多數(71%)網路流量源自API呼叫,顯示API在網路世界中扮演重要的角色,而企業平均每年接收15億次API呼叫,凸顯API的廣泛應用。

應用程式介面(Application Programming Interface,API)是串接各應用程式與資料庫的關鍵,是推動數位化關鍵之一。示意圖/123RF

應對安全挑戰

雖然API的重要性不可忽視,但安全仍然是一大挑戰。許多API在投入使用前未經過適當審核,成為駭客攻擊的對象。金融和電子商務領域尤其成為攻擊目標,帳號竊取是主要手法,2023年幾乎有一半的攻擊針對API端點。這些攻擊造成組織重大損失,包括資料外洩、收入損失和合規風險增加。

更多新聞:安全即防禦  強化API安全性  確保資料交流及用戶信任

API的安全風險

為了應對API的安全挑戰,組織需要更有效地管理和保護其API端點。Imperva指出,影子API、已棄用API和未驗證API是主要的安全風險源。

  • 影子API:指未受到監控或記錄的API,佔組織活動API集合的4.7%。引入這些端點可能是用於軟體測試或連接到第三方服務。雖然可以存取敏感資訊,但缺乏管理可能導致合規性違規或數據外洩的風險。
  • 已棄用的API:被棄用的API平均佔組織活動API集合的2.6%。當端點被棄用時,如果未更新服務,就會使端點容易受到攻擊,因為缺乏必要的修補和更新。
  • 未經身份驗證的API:未經身份驗證的API平均佔組織活動API集合的3.4%。這些API暴露敏感資訊或功能給未經授權的用戶,可能導致資料外洩或系統操縱的風險。

這些API端點可能存在於系統中,但未受到適當的監控和管理,成為駭客的攻擊目標。為了防範這些風險,定期進行審查、持續監控和更新API端點是降低安全風險的有效方法。

確保API安全的方法

為了保護API安全,組織可以採取多項措施。需先發現、分類和監控所有API端點和敏感資料。且必須確保高風險API端點的安全,並建立強大的監控系統以檢測可疑活動。再者採用綜合的API安全方法,包括Web應用程式防火牆(WAF)、API保護和分散式阻斷服務(DDoS)防護。這些措施有助於組織有效應對不斷變化的API安全威脅。

資料來源:The Hacker News

瀏覽 327 次

覺得不錯的話就分享出去吧!

發佈留言

Back to top button