Cloudflare 发布 2024 年 API 安全与管理报告

Cloudflare发布2024年API安全与管理报告

Cloudflare最近发布了《2024年API安全与管理报告》,提供了关于如何在新一年中保护API的见解、预测和建议。报告分析了影子API的日益增长风险、最常见的API错误以及全球各行业的API使用情况。

主要预测与趋势

  1. 控制力下降与复杂性增加:2024年,API的控制将变得更加复杂,企业可能面临更大的管理挑战。
  2. AI普及带来的风险:AI的易用性增加可能导致更多的API风险,特别是AI模型API可能成为攻击目标。
  3. 基于业务逻辑的欺诈攻击增加:预计2024年将出现更多针对业务逻辑的欺诈攻击。
  4. 治理需求上升:随着2024年3月首个直接涉及API安全的PCI DSS版本生效,企业对API治理的需求将增加。

API的重要性与风险

  • API流量占比:API占互联网流量的57%,相比五年前的15%大幅增长,成为网络攻击的主要目标。
  • 影子API问题:报告发现,30.7%的API端点未被企业正确记录,这些“影子API”增加了安全风险。
  • 常见威胁:注入攻击是API的第二大常见威胁,仅次于HTTP异常攻击。

安全建议与策略

Cloudflare提出了以下四方面的安全策略:

  1. 统一控制平面:将API应用开发、可见性、性能和安全整合到一个统一的控制平面。
  2. 机器学习技术的应用:使用依赖机器学习的安全工具来提升API安全性。
  3. 采用积极安全模型:仅允许良好请求通过,而非仅仅检测攻击。
  4. 逐步提升API成熟度:通过持续改进,逐步提高API的安全成熟度。

速率限制的重要性

  • HTTP 429错误:在4xx和5xx错误消息中,HTTP 429(请求过多)是最常见的速率限制错误,占比近52%。
  • 最佳实践:建议基于会话ID进行速率限制,仅在会话ID不可用时回退到IP地址或IP+JA3指纹。
  • 实施挑战:使用HTTP 403(禁止)作为速率限制响应可能导致混淆,而HTTP 429则可能让攻击者更容易规避检测。

报告获取与相关资源

  • 报告获取:完整报告可免费获取,但需要注册登录。
  • 其他资源:F5也发布了《Forrester API安全报告》,提供了API安全的八个关键组件。

总结

Cloudflare的报告强调了API安全的重要性,并提供了应对日益复杂威胁的实用建议。随着API在互联网中的比重不断增加,企业需要加强治理、提升安全成熟度,并采用先进技术来应对潜在风险。

阅读 54
0 条评论