Google今天宣布了Advanced API Security的预览版,这是Google Cloud的一个新产品,旨在检测与API有关的安全威胁。该公司表示,在Google API管理平台Apigee的基础上,客户可以从今天开始申请访问。API是"应用程序编程接口"的简称,是计算机之间或计算机程序之间的文件连接。
API这一概念从发明之后就一路上升,一项调查发现,超过61.6%的开发者在2021年比2020年更依赖API。但它们也越来越成为攻击的目标。根据网络安全厂商Imperva委托的一份2018年报告,三分之二的组织正在向公众和合作伙伴暴露不安全的API。
Advanced API Security专门从事两项工作:识别API错误配置和检测机器人。该服务定期评估管理的API,并在检测到配置问题时提供建议的行动,它还使用预先配置的规则提供一种方法来识别API流量中的恶意机器人。每条规则代表来自一个IP地址的不同类型的异常流量;如果一个API流量模式符合任何规则,Advanced API Security就会将其报告为机器人访问。
"配置错误的API是造成API安全事件的主要原因之一。虽然识别和解决API错误配置是许多组织的首要任务,但配置管理过程很耗时,需要相当多的资源,"Google云产品负责人Vikas Ananda在公告前与TechCrunch分享的一篇博文中说。"高级API安全使API团队更容易识别不符合安全标准的API代理……此外,Advanced API Security通过识别成功导致HTTP 200 OK成功状态响应代码的机器人,加快了识别数据泄露的过程。"
随着Advanced API Security的推出,Google显然在寻求加强Apigee旗下的安全产品,它在2016年以超过5亿美元的价格收购了Apigee。但该公司也在应对API安全领域日益激烈的竞争。提供以API为重点的网络安全产品的初创公司包括Salt Security、Noname Security和Neosec。许多成熟的供应商近年来也扩大了他们的产品,包括Barracuda、Akamai、42Crunch、Traceable、Ping Identity和Signal Sciences。
3月,Cloudflare推出了一个新的网关,旨在提高API安全性。而在5月,Imperva收购了API安全公司CloudVector。
虽然这些产品的性能比较起来还没有定论,但API攻击的威胁是真实存在并日益增长的。在过去几个月里,Peloton、Parler甚至LinkedIn等公司都成为了API驱动的攻击的受害者。他们并不是唯一的受害者。根据Cloudentity最近的一项研究,44%的公司经历了与隐私、数据泄漏和面向内部和外部的API的对象财产暴露有关的"实质性"API授权问题。