数字化进程催生了一系列新的商业模型与合作伙伴关系生态系统,当今时代,协作与集成不再仅仅是锦上添花的东西,而是切切实实的竞争优势。
应用程序编程接口(API)的大量使用奠定了该数字化转型的基础。可编程Web,实际上的API经济账本,记录了自新世纪第一个10年末尾开始的这波急速增长趋势,并且,该趋势至今毫无停止的迹象。
今年早些时候发布的调查研究显示,超过60%的公司企业认为API集成是自身商业战略的关键。乘着这股趋势,很多公司企业找到了从现有资源中谋求额外价值,并更快速地将新解决方案推向市场的方法。
很多公司向第三方开发人员开放了他们的API,力求扩宽自身领域,交付创新服务,产生新的收益流。
金融机构、医疗提供商和零售商是其中主导,开展了很多项目以改善与客户的互动,并和其他利益相关者共享数据以交付更好的收益并提升服务水平。
API还塑造了支托起物联网热潮的关键基础。
API是设备联网的接口,从运动健康记录器到维护传感器和车辆定位跟踪器,无一不需要通过API来连接互联网,连接网络上其他设备,以及连接用户需与之互动的App和设备。
注意漏洞——传统API安全失效的地方
由于API是众多战略性和业务关键项目的基础,必须确保API不被破坏或被不当使用来进行欺诈、盗窃或泄露隐私。
截至目前,网络安全行业没能跟上API的爆炸式发展,保护敏感数据和应用的万全之策尚有待推出。
API扩大了企业的攻击界面,却常常未受到传统安全防御的足够保护。典型的API防护落脚在通过身份安全解决方案和API网关来限制对API的访问上。
这类访问控制很强大,但却不全面。我们还需要一组补充性的安全功能,用来解决包括API特定拒绝服务攻击、登录攻击和应用及数据工具在内的各种威胁。
有鉴于此,安全工具箱中纳入API特殊保护要求就十分有必要了。
高科技版的大海捞针
在API流量汪洋里找出可疑活动就是个大数据噩梦。试图在万千交易中定位某一恶意交易,就是高科技版的大海捞针。
除了大得吓人的总流量,IT人员还得应付以各种方式使用的各类API,包括要支持移动和语音应用。这些复杂多样的环境下,要想将攻击与合法活动区分开来并非易事,编写适用于所有API的规则策略也几乎是不可能。
同时,随着数字化的演进和黑客在技术与胆量上的精进,新的威胁也在不断涌现。
AI会是API安全问题的救星吗?
智能API安全正逐渐成型,有望成为解决API安全问题的良方。人工智能和机器学习是在大量交易数据中检测恶意企图的绝佳工具,而且具备与时俱进功能,可以自适应新威胁的出现。
通过学习多个环境不同情况下与每个API相关的正常行为模式的范围,AI可以识别并阻止API攻击。随着时间进程,即便没有成文的规则或有关新攻击模式的前置知识,异常活动也会被标记出来。
AI驱动的API安全软件是可以随时间流逝变得越来越好的解决方案。API安全完全有可能从老旧的访问控制模型进化到全面的安全防护解决方案。
AI驱动的解决方案有望交付的对数据、应用和系统的强化安全防护,不仅仅意味着公司管理层和IT员工可以就此放心,还可能是企业赖以继续充满自信地利用API经济新机会的基础。
API调查研究报告原文:
https://blog.cloud-elements.com/state-of-api-integration-2018-report-infographic
【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】