歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
專家預期: 2024 年針對應用程式層面的攻擊數量將上升
2024 / 01 / 03
編輯部
隨著科技以前所未有的速度不斷進步,API(應用程式介面)安全性的複雜性也隨之增加。隨著 API 在現代應用程式和服務中的激增,組織將需要更好地了解其 API 環境以及 API 對營運帶來的風險。
2023年,針對企業的API攻擊顯著增加,顯示此攻擊面的脆弱性。API 安全市場目前仍處於早期階段,但隨著 API 安全威脅增加,資安專家預測今年將可看到更多提供 API 攻擊面可見性的解決方案及供應商。2024 年預計以下關鍵趨勢和預測將形朔 API 安全格局。
API的可見性&透明度
即使辨識網路漏洞的連接埠掃描方法還是可行,專家預期針對應用程式層面攻擊的數量將會上升。
惡意行為者將透過開設帳戶或使用應用程式滲透系統並破壞應用程式行為來攻擊特定的銀行或金融機構。駭客知道大多數組織都有網路層級安全解決方案,導致 API 暴露並容易受到攻擊。
隨著駭客取得授權使用者存取的方式變得更加複雜,傳統的外圍防禦已不足以保護 API。組織需要優先考慮外圍防禦,持續監控 API 流量以偵測可疑的使用者行為。
因此可見性將成為 API 安全策略的優先事項。
防止攻擊者進入外圍並不是 100% 萬無一失的策略。而對安全環境的即時可見性將使安全團隊能夠快速回應,在威脅影響營運或提取有價值的資料之前消除威脅。
例如,傳統的基於邊界的解決方案僅監視請求而不監視回應。如果攻擊者冒充客戶,他們的請求將顯示為合法。可見性可以透過多層安全方法來實現,包括外圍和外圍防禦。隨著駭客尋找創新攻擊手法做到安全繞過,API 的完全保真度對於隔離未知攻擊至關重要。
此外,隨著 API 的廣泛使用,特別是在金融服務等領域的監管機構正在鼓勵 API 的透明度提升。這意味著資料隱私問題和法規將在 2024 年繼續影響 API 使用。為此,組織越來越厭倦讓第三方持有和存取其資料以進行安全分析。
組織將要求在自己的環境中本地運行安全解決方案。自我管理的解決方案(本地或私有雲)無需在儲存資料之前對其進行過濾、編輯和匿名化。這項轉變將有助於組織保持對敏感資料的控制並滿足合規性要求。
API治理變得更關鍵
API治理將成為API安全的基石。
儘管企業採用 API 來實現新服務交付或提高效率,但由於治理程序不發達,組織仍面臨對其數位資產缺乏可見性的困擾。急迫的API 安全需求將促使資安長或資安主管與應用程式開發團隊合作建立 API 治理流程和結構。
為了識別攻擊或補救事件,資安長及團隊必須了解API 環境和現有漏洞、建立流程來增強有效的跨單位協作、實現 API 可視性,並組織的運作方式製定基本政策和標準。
健全的 API 治理應該將發現結果轉化為有價的 KPI指標,組織可以使用它們來評估安全態勢。
API安全中安全資料湖的興起
API 安全解決方案必須具有可擴充性,以適應小型和大型組織的需求。今年將看到經過驗證的資料湖技術的採用。該技術使資料能夠儲存在以安全為中心的模式中,並透過標準 SQL 查詢進行存取。組織可以設定資料保留策略,以平衡可存取性與資源利用率和成本。
自動化將在 API 安全解決方案中發揮更大的作用。API安全解決方案將提供自動化功能,用於建立自訂威脅偵測和警報規則,促進即時威脅偵測和回應。與SIEM和 SOAR 解決方案的整合將變得更加無縫,從而實現快速的事件回應。
隨著攻擊者不斷發展,組織必須透過實施先進的邊界內威脅偵測、情境豐富的警報和攻擊面管理來適應不斷變化的威脅情勢。這些趨勢,加上對本地解決方案、可擴展性和自動化的關注,將有助於組織在未來幾年內應對 API 安全挑戰。
本文轉載自helpnetsecurity。
API安全
身分認證
供應鏈安全
安全組態
API測試工具
可視性
金融資安
最新活動
2025.07.18
2025 政府資安高峰論壇
2025.07.24
2025 中部製造業資安論壇
2025.07.17
AI仿真內容滲透日常,如何有效提升員工 系統「辨識力」
2025.07.18
零信任與網路安全架構
2025.07.18
『Silverfort 身份安全平台』與『SecurEnvoy Access Management 存取管理』網路研討會
2025.07.23
照過來👀 2025 ISFP 新創募資實戰系列課程 開跑囉🏃♂️~ 募資不求人!從財務內功到投資攻心術一次掌握~ 趕緊立即報名✌️
2025.09.05
從零開始學IT網路 – 5 天帶你掌握 IT 網路核心、拿下國際認證!
看更多活動
大家都在看
新型勒索軟體「Bert」鎖定醫療與科技業,跨國攻擊威脅升級
駭客濫用PDF冒充微軟、DocuSign等品牌 回撥式釣魚攻擊激增
Cloudflare率先預設封鎖AI爬蟲 網站擁有者可自主決定內容授權
Cisco 統一通訊管理器爆重大資安漏洞 硬編碼後門帳戶恐遭遠端攻擊
企業資安防禦全面革新 AI × SASE × IAM × MDR
資安人科技網
文章推薦
報告:製造業身分爆炸時代 九成業者需管控逾2500個有效身分
報告:深偽犯罪門檻降低,地下市場販售完整教學工具包
駭客透過惡意擴充套件 瞄準開發人員發動攻擊