API驅動全球大部分網路流量　駭客趁虛而入

編譯／Cynthia

應用程式介面（Application Programming Interface，API）是串接各應用程式與資料庫的關鍵，是推動數位化關鍵之一。美國網路安全公司Imperva報告指出，絕大多數（71％）網路流量源自API呼叫，顯示API在網路世界中扮演重要的角色，而企業平均每年接收15億次API呼叫，凸顯API的廣泛應用。

應對安全挑戰

雖然API的重要性不可忽視，但安全仍然是一大挑戰。許多API在投入使用前未經過適當審核，成為駭客攻擊的對象。金融和電子商務領域尤其成為攻擊目標，帳號竊取是主要手法，2023年幾乎有一半的攻擊針對API端點。這些攻擊造成組織重大損失，包括資料外洩、收入損失和合規風險增加。

更多新聞：安全即防禦  強化API安全性  確保資料交流及用戶信任

API的安全風險

為了應對API的安全挑戰，組織需要更有效地管理和保護其API端點。Imperva指出，影子API、已棄用API和未驗證API是主要的安全風險源。

• 影子API：指未受到監控或記錄的API，佔組織活動API集合的4.7％。引入這些端點可能是用於軟體測試或連接到第三方服務。雖然可以存取敏感資訊，但缺乏管理可能導致合規性違規或數據外洩的風險。

• 已棄用的API：被棄用的API平均佔組織活動API集合的2.6％。當端點被棄用時，如果未更新服務，就會使端點容易受到攻擊，因為缺乏必要的修補和更新。

• 未經身份驗證的API：未經身份驗證的API平均佔組織活動API集合的3.4％。這些API暴露敏感資訊或功能給未經授權的用戶，可能導致資料外洩或系統操縱的風險。

這些API端點可能存在於系統中，但未受到適當的監控和管理，成為駭客的攻擊目標。為了防範這些風險，定期進行審查、持續監控和更新API端點是降低安全風險的有效方法。

確保API安全的方法

為了保護API安全，組織可以採取多項措施。需先發現、分類和監控所有API端點和敏感資料。且必須確保高風險API端點的安全，並建立強大的監控系統以檢測可疑活動。再者採用綜合的API安全方法，包括Web應用程式防火牆（WAF）、API保護和分散式阻斷服務（DDoS）防護。這些措施有助於組織有效應對不斷變化的API安全威脅。

資料來源：The Hacker News

瀏覽 325 次