隨著新威脅的出現,API 威脅形勢也在不斷發展。最近,受到更多關注的一種風險是僵尸 API。這些是被遺忘的、不死的端點,潛伏在過去 IT 項目的陰影中。僵尸 API 尚未完全棄用并且仍然存在,如果不關閉,它們可能會無意中暴露敏感數據。
當今精明的技術人員并沒有忽視影子 API 和僵尸 API的威脅。 Salt Labs 發布的今年的API 安全狀況報告發現,過時的僵尸 API 是受訪者最關心的問題。 Salt Security 產品戰略副總裁 Nick Rago 表示,這可能是由于企業內部對云和API 治理重要性的認識不斷提高。
我最近采訪了 Rago,了解這些可怕端點的真相以及組織應如何應對。簡而言之,隨著攻擊者越來越多地以 API 為惡意目的,高管們開始轉向 API 治理來加強組織的整體安全態勢。人們還開始將 API 視為 IT 資產,從而鼓勵標準化。這些變化需要改進庫存管理并識別僵尸 API 等端點,這些端點不再滿足業務需求,但可能會帶來不可預見的威脅。
攻擊 API 的門檻低得驚人。在檢查了過去幾年的許多攻擊后,Rago 得出結論:“我們看到的大約 70% 的攻擊都是高中生可能發起的攻擊。” API 攻擊不斷增加,其中絕大多數與不良的安全狀況有關。正如上述 Salt Labs 報告所示,95% 的受訪者在生產 API 中遇到過安全問題,這主要是由于這種情況。
有趣的是,Rago 注意到最近對運行時保護的擔憂有所下降,而對狀態治理的擔憂則更加強烈。這可能是因為許多 API 旅程仍處于早期階段,大型企業的高管剛剛組建云治理委員會來編寫 API 標準。
在許多情況下,API 標準直到最近才被定義或執行。部分原因是API 設計的流動性和缺乏通用標準。 “如果你問架構師、開發人員、DevOps 或 AppSec 專業人士,每個人對于什么是好的 API 都有不同的看法,”Rago 說。出于這個原因,人們對預先設計和執行標準更加感興趣。
“規格優先終于占據主導地位,”拉戈說。新的 API 項目經理,尤其是金融領域的項目經理,需要這些新 API 項目的藍圖。他說,在越來越多的情況下,“API 在制定規范之前不會出現”。在他看來,根據最近的 APIContext 研究,這個領域的改進時機已經成熟,因為 75% 的 API 都存在規范漂移問題。
總體而言,從保險到航空公司和醫療保健的大型組織都開始認真對待 API 并對其成熟度進行投資。 API 意識的提高也影響著網關技術的進一步整合。 “企業正在像對待 IT 資產一樣對待 API,”他說。 “他們擁有的 API 端點通常比他們擁有的任何其他 IT 資產都多。”
Traceable 的 2025 年全球 API 安全狀況報告由 Ponemon Institute 進行,調查了 1,500 名 IT 和 IT 安全從業者,發現其中 61% 的人認為 API 風險將在未來 12 至 24 個月內增加。破碎的訪問控制和簡單的授權差距仍然是 API 面臨的最大風險,而那些不斷增長的蜘蛛網是唾手可得的成果。
“對僵尸 API 的恐懼是真實存在的,”Rago 說。 “如果這些是 IT 資產,您需要知道是否有一臺服務器五年來無人更新或打過補丁。我們現在正在通過 API 實現這一目標。”
除此之外,平均API 庫存正在穩步增長。根據 Salt Security 研究,API 總數正在增加,去年增加了 167%,61% 的客戶現在管理著 100 多個 API。 Rago 表示,對僵尸或影子 API的許多擔憂源于大型、復雜的企業意識到這些 API 端點幾乎沒有治理。 “有很多,他們沒有控制力或洞察力。”
但哪些 API 最有可能被拋在后面呢?根據 Rago 的說法,最有可能成為僵尸的 API 是針對特定用例構建的 API。人們通常對為公共或面向合作伙伴的場景構建的 API 有很好的眼光。但采用專為自定義用戶體驗而構建的 API,例如移動應用程序或網站。此類項目通常會被淘汰,尤其是為單個活動或活動而建造的項目,但下面的所有管道都保持正常運行。在這種情況下,API 可以輕松暴露敏感數據或個人身份信息(PII)。
僵尸 API 在未受到密切監控或存在大量技術債務或影子 IT 的環境中可能更為常見。找到它們并不總是那么容易。只有10% 的組織完整記錄了他們的 API ,這使得定位這些端點具有挑戰性。
Rago 表示,因此,API 發現不能只是簡單地分析運行時請求,因為僵尸端點可能無法獲取流量。相反,他鼓勵采取更積極的發現方法。組織應該查看源代碼存儲庫、舊的開發人員門戶文檔或參考資料以及 API 生態系統工具,以發現僵尸 API 潛伏的位置。 “Postman、Insomnia 或 SwaggerHub 系列中有什么?”
他們說殺死僵尸的唯一可靠方法就是砍下它的頭。就 API 而言,這些步驟不那么血腥,但同樣有效。對于僵尸 API,阻止它們的唯一可靠方法就是永久關閉它們。
但我們如何阻止 API 變得僵尸化呢?找到它們是一回事,消除它們產生的根本原因則完全是另一回事。后者的反應取決于治理。
正如我們之前介紹的,治理是一個包羅萬象的術語,適用于 API 生命周期(從設計到開發、測試和生產)的最佳實踐。 Rago 表示,在各個階段,有必要從數據監管的角度進行驗證,或者確保 API 遵循特定的設計策略,例如按照某種格式實現用戶 ID。組織可能還制定了有關第三方消費的政策。
您不會通過觀看《活死人黎明》來學習如何關閉 API。雖然僵尸 API 并不像電影中的不死生物那樣令人興奮,但它們對組織來說同樣危險。解決方案在于執行驅動的組織范圍內的標準。正如拉戈所說,“每個人都認識到標準的重要性。”通過適當的治理,組織可以確保他們的 API 不會再次困擾他們。
原文鏈接:https://nordicapis.com/why-enterprises-are-concerned-about-zombie-apis/