Google今天宣布了Advanced API Security的預(yù)覽版，這是Google Cloud的一個(gè)新產(chǎn)品，旨在檢測與API有關(guān)的安全威脅。該公司表示，在Google API管理平臺Apigee的基礎(chǔ)上，客戶可以從今天開始申請?jiān)L問。API是"應(yīng)用程序編程接口"的簡稱，是計(jì)算機(jī)之間或計(jì)算機(jī)程序之間的文件連接。

API這一概念從發(fā)明之后就一路上升，一項(xiàng)調(diào)查發(fā)現(xiàn)，超過61.6%的開發(fā)者在2021年比2020年更依賴API。但它們也越來越成為攻擊的目標(biāo)。根據(jù)網(wǎng)絡(luò)安全廠商Imperva委托的一份2018年報(bào)告，三分之二的組織正在向公眾和合作伙伴暴露不安全的API。

Advanced API Security專門從事兩項(xiàng)工作：識別API錯(cuò)誤配置和檢測機(jī)器人。該服務(wù)定期評估管理的API，并在檢測到配置問題時(shí)提供建議的行動(dòng)，它還使用預(yù)先配置的規(guī)則提供一種方法來識別API流量中的惡意機(jī)器人。每條規(guī)則代表來自一個(gè)IP地址的不同類型的異常流量；如果一個(gè)API流量模式符合任何規(guī)則，Advanced API Security就會(huì)將其報(bào)告為機(jī)器人訪問。

"配置錯(cuò)誤的API是造成API安全事件的主要原因之一。雖然識別和解決API錯(cuò)誤配置是許多組織的首要任務(wù)，但配置管理過程很耗時(shí)，需要相當(dāng)多的資源，"Google云產(chǎn)品負(fù)責(zé)人Vikas Ananda在公告前與TechCrunch分享的一篇博文中說。"高級API安全使API團(tuán)隊(duì)更容易識別不符合安全標(biāo)準(zhǔn)的API代理……此外，Advanced API Security通過識別成功導(dǎo)致HTTP 200 OK成功狀態(tài)響應(yīng)代碼的機(jī)器人，加快了識別數(shù)據(jù)泄露的過程。"

隨著Advanced API Security的推出，Google顯然在尋求加強(qiáng)Apigee旗下的安全產(chǎn)品，它在2016年以超過5億美元的價(jià)格收購了Apigee。但該公司也在應(yīng)對API安全領(lǐng)域日益激烈的競爭。提供以API為重點(diǎn)的網(wǎng)絡(luò)安全產(chǎn)品的初創(chuàng)公司包括Salt Security、Noname Security和Neosec。許多成熟的供應(yīng)商近年來也擴(kuò)大了他們的產(chǎn)品，包括Barracuda、Akamai、42Crunch、Traceable、Ping Identity和Signal Sciences。

3月，Cloudflare推出了一個(gè)新的網(wǎng)關(guān)，旨在提高API安全性。而在5月，Imperva收購了API安全公司CloudVector。

雖然這些產(chǎn)品的性能比較起來還沒有定論，但API攻擊的威脅是真實(shí)存在并日益增長的。在過去幾個(gè)月里，Peloton、Parler甚至LinkedIn等公司都成為了API驅(qū)動(dòng)的攻擊的受害者。他們并不是唯一的受害者。根據(jù)Cloudentity最近的一項(xiàng)研究，44%的公司經(jīng)歷了與隱私、數(shù)據(jù)泄漏和面向內(nèi)部和外部的API的對象財(cái)產(chǎn)暴露有關(guān)的"實(shí)質(zhì)性"API授權(quán)問題。

（舉報(bào)）