Google 今天宣布了 Advanced API Security 的预览版,这是一款面向 Google Cloud 的新产品,旨在检测与 API 相关的安全威胁。该公司基于 Google 的 API 管理平台 Apigee 构建,表示客户可以从今天开始请求访问。
API 是“应用程序编程接口”的缩写,是计算机之间或计算机程序之间的文档化连接。 API 的使用量正在上升,一项调查发现,超过 61.6% 的开发人员在 2021 年比 2020 年更多地依赖 API。但它们也越来越多地成为攻击的目标。根据网络安全供应商 Imperva 委托的 2018 年报告,三分之二的组织正在向公众和合作伙伴公开不安全的 API。
Advanced API Security 专注于两项任务:识别 API 错误配置和检测机器人。该服务会定期评估托管 API 并在检测到配置问题时提供建议的操作,并使用预配置规则提供一种方法来识别 API 流量中的恶意机器人。每个规则代表来自单个 IP 地址的不同类型的异常流量;如果 API 流量模式符合任何规则,Advanced API Security 会将其报告为机器人。
“错误配置的 API 是 API 安全事件的主要原因之一。虽然识别和解决 API 错误配置是许多组织的首要任务,但配置管理过程非常耗时,并且需要大量资源,”谷歌云产品负责人 Vikas Ananda 在发布前与 TechCrunch 分享的一篇博文中表示。 “高级 API 安全性使 API 团队更容易识别不符合安全标准的 API 代理。 . . .此外,高级 API 安全性通过识别成功产生HTTP 200 OK 成功状态响应代码的机器人来加快识别数据泄露的过程。”
随着 Advanced API Security 的推出,谷歌显然正在寻求加强其在 Apigee 下的安全产品,它于 2016 年以超过 50 亿美元的价格收购了 Apigee。但该公司也在应对 API 安全领域日益激烈的竞争。提供以 API 为中心的网络安全产品的初创公司包括Salt Security 、 Noname Security和Neosec 。近年来,许多老牌供应商也扩展了他们的产品,包括 Barracuda、Akamai、42Crunch、Traceable、Ping Identity 和 Signal Sciences。
3 月,Cloudflare 推出了一个旨在提高 API 安全性的新网关。 5 月,Imperva收购了API 安全公司 CloudVector。
虽然陪审团对这些产品的相对性能尚无定论,但 API 传播的攻击的威胁是非常真实的。在过去的几个月里,像Peloton 、 Parler甚至LinkedIn等公司都成为了 API 驱动的攻击的受害者。他们不是唯一的。根据 Cloudentity 最近的一项研究,44% 的公司在使用内部和外部 API 时遇到了与隐私、数据泄漏和对象属性暴露有关的“严重” API 授权问题。