Google今天宣布了Advanced API Security的預覽版,這是Google
Cloud的一個新產品,旨在檢測與API有關的安全威脅。該公司表示,在Google
API管理平台Apigee的基礎上,客戶可以從今天開始申請訪問。API是”應用程序編程接口”的簡稱,是計算機之間或計算機程序之間的文件連接。
API這一概念從發明之後就一路上升,一項調查發現,超過61.6%的開發者在2021年比2020年更依賴API。但它們也越來越成為攻擊的目標。根據網絡安全廠商Imperva委託的一份2018年報告,三分之二的組織正在向公眾和合作夥伴暴露不安全的API。
Advanced API Security專門從事兩項工作:識別API錯誤配置和檢測機器人。該服務定期評估管理的API,並在檢測到配置問題時提供建議的行動,它還使用預先配置的規則提供一種方法來識別API流量中的惡意機器人。每條規則代表來自一個IP地址的不同類型的異常流量;如果一個API流量模式符合任何規則,Advanced API Security就會將其報告為機器人訪問。
“配置錯誤的API是造成API安全事件的主要原因之一。雖然識別和解決API錯誤配置是許多組織的首要任務,但配置管理過程很耗時,需要相當多的資源,”Google雲產品負責人Vikas Ananda在公告前與TechCrunch分享的一篇博文中說。”高級API安全使API團隊更容易識別不符合安全標準的API代理……此外,Advanced API Security通過識別成功導致HTTP 200 OK成功狀態響應代碼的機器人,加快了識別數據泄露的過程。”
隨着Advanced API Security的推出,Google顯然在尋求加強Apigee旗下的安全產品,它在2016年以超過5億美元的價格收購了Apigee。但該公司也在應對API安全領域日益激烈的競爭。提供以API為重點的網絡安全產品的初創公司包括Salt Security、Noname Security和Neosec。許多成熟的供應商近年來也擴大了他們的產品,包括Barracuda、Akamai、42Crunch、Traceable、Ping Identity和Signal Sciences。
3月,Cloudflare推出了一個新的網關,旨在提高API安全性。而在5月,Imperva收購了API安全公司CloudVector。
雖然這些產品的性能比較起來還沒有定論,但API攻擊的威脅是真實存在並日益增長的。在過去幾個月里,Peloton、Parler甚至LinkedIn等公司都成為了API驅動的攻擊的受害者。他們並不是唯一的受害者。根據Cloudentity最近的一項研究,44%的公司經歷了與隱私、數據泄漏和面向內部和外部的API的對象財產暴露有關的”實質性”API授權問題。