隨著數位轉型加速,企業對API的依賴程度急劇攀升,但安全防護措施卻嚴重滯後。根據資安公司Raidiam最新發布的研究報告,大多數組織在未建立適當安全控制的情況下,正透過API暴露敏感資料,而且可能對此渾然不覺。
此項研究針對各行業68家組織進行深度安全評估,特意排除了如英國開放銀行等受到嚴格監管、必須實施先進安全措施的環境,專注了解一般企業在沒有監管壓力下的API保護現況。
關鍵數據揭露嚴重問題
- 超過80%的組織被歸類為「急需行動」類別:
這些公司透過API處理高價值個人或支付資料,但僅使用靜態API金鑰、缺乏定期更新的認證令牌或基本OAuth共享密鑰等脆弱控制措施。
- 在整個樣本中,僅有1家組織部署了現代化的API安全堆疊,採用客戶端憑證認證、發送方約束令牌及相互TLS (mTLS)。
- 僅27%的組織具備了解API中敏感資料暴露情況的能力。
- 不到一半的組織進行API專門的安全測試。
攻擊面擴大vs.防護措施滯後
現今API處理的資料範圍從身分聲明、持卡人資料到健康和帳戶資訊無所不包,攻擊面已發生根本性改變,但安全實務往往未能跟上。研究指出,監控機制同樣缺乏,意味著攻擊者可能在數週內探測或濫用API而不被發現。
企業普遍面臨的API安全挑戰:
- API未納入標準安全程序範疇
- 缺乏專門的安全測試(如模糊測試或動態分析)
- 監控機制不足,無法及時發現異常活動
- 資料敏感性與安全態勢之間存在巨大落差
金融級安全標準指引改善方向
Raidiam提出強化API安全的具體路徑,主要採用已在受監管領域證實有效的做法。研究建議企業採用相互TLS來驗證客戶端和伺服器,大幅提高攻擊者冒充合法應用程式的難度。同時應使用憑證綁定令牌,防止令牌竊取成為有效的存取方法。此外,實施客戶端憑證認證和部署發送方約束令牌機制,也是現代化API安全堆疊的重要組成部分。
這些並非理論上的改進措施。英國、歐洲和澳洲的開放銀行制度都強制要求此類控制措施,英國每家銀行都已實施。但在沒有監管壓力的行業中,採用率仍然偏低。金融級API的成功實施經驗證明,這些技術方案不僅可行,而且能夠有效提升整體安全防護水準。
董事會層級監督策略
Raidiam企業策略負責人David Oppenheim指出,董事會層級的有意義監督並不需要技術專業知識,但需要正確的指標和方法。他建議董事會應詢問組織已採用或列入路線圖的認可標準(如FAPI),以及組織是否應用成熟度模型或框架來基準目前態勢並追蹤改善情況。
在實際執行層面,Oppenheim提出了一個簡單但有效的監督方式。
他建議企業監控採用傳統認證方式的API整合比例,並設定遷移到加密保護的明確時間表。透過持續追蹤這個比例隨時間的減少情況,可以為非技術背景的管理階層提供具體的安全改善指標,讓董事會能夠有效監督API安全投資的實際成效。
合規趨勢與未來展望
目前API安全的最大改善動力來自直接監管或行業主導的規範。Oppenheim表示,大型企業和基礎設施供應商已開始自願推進,因為他們將強大的API安全視為規模化和信任的必要基礎。
推動改變的關鍵指引:
- TLS安全基準規定的變更將影響所有具有數位足跡的組織
- DORA等法規正推動第三方風險的期待
- NIST零信任框架正成為企業降低系統預設信任的指導原則
專家建議:主動行動勝過被動等待
Oppenheim強調,雖然報告調查的大多數組織在API安全方面落後,但那些受監管要求的銀行或自願改善API安全的全球卡片發行機構,在規模和成熟度方面都遠超落後者,這創造了風險態勢的鮮明對比。
企業行動建議:
- 立即評估現有API安全措施
- 參考金融級標準建立更完善的防護機制
- 主動升級而非等待監管機構強制要求
- 建立完整的API安全治理框架
- 定期進行安全測試和威脅評估
面對日益嚴峻的API安全挑戰,企業應將API安全視為數位轉型的核心要素,而非附加的技術問題。唯有主動建立完善的API安全防護體系,才能在數位化浪潮中確保企業資產和客戶資料的安全。
本文轉載自helpnetsecurity。