API安全性：企业面临的重大挑战与应对策略

关键要点

在当前的环境中，企业安全团队在API安全方面面临持续的压力。尽管企业需要管理成千上万个API，但许多API没有通过像API网关或Web应用防火墙(WAF)这样的代理进行路由。这导致大部分API缺乏有效监控，审计频率低下，从而极易受到攻击。不幸的是，预计到2025年，管理好的企业API将降到不到50Gartner预测。

API安全性显得尤为重要。让我们看看API激增的几个重要原因，以及为何如此多的API处于不安全状态。

数字化转型带来了大量新机会，同时也对新能力提出了强烈需求。如今，业务线的要求更加紧迫，企业在应对市场机遇时常常忽视了潜在的安全风险。开发者们能够迅速创建新的网站和应用，常常绕过内部控制。在许多情况下，安全团队甚至对这些项目毫无了解，直到为时已晚方才意识到风险。

与此同时，企业的预算策略也发生变化，从集中式的IT支出转向业务线的运营费用。组织的迅速发展并未伴随着对安全预算的合理调整，很多企业甚至不清楚该为安全分配多少预算。

此外，应用程序越来越多地迁移到公共和私有云中。这种数据和工作负载的移动增加了复杂性、降低了控制能力，并引入了第三方。企业需要建立新的安全实践以降低这些风险，但许多企业并没有足够的技能、经验或资源来有效实施。同时，微服务的引入也显著增加了组织攻击面，使得安全保障变得比单体应用更加复杂，因为它们面临的环境更为动态，而传统工具则是为静态环境设计的。

最后，敏捷开发实践的兴起加快了开发周期，因为用户和客户对新功能的需求越来越迫切。DevOps的采纳使得代码修改的频率更高，超出了安全团队的控制。新软件比以往更快地进入用户手中，但谁来管理风险？

总的来说，安全团队并未准备好应对这些变化及其对安全造成的影响。持续交付需要持续安全：许多企业已转向持续安全的模式，以在快速创新的同时保持安全态势。以下是开始实施的五个步骤：

企业必须认真对待API安全威胁，是时候采取更积极的应对策略。通过实施这些策略，企业才有可能在不抑制创新的前提下，确保API的安全性。

Oz Golan，Noname Security联合创始人兼首席执行官