近日,Escape团队发布《API暴露现状报告2024》,揭示了全球超大型企业组织在API安全方面存在的重大漏洞。报告覆盖了财富1000强和CAC 40公司的API安全状况,特别指出了这些企业在API管理和防护上的显著缺陷。尤其是在金融、医疗、保险等行业,存在广泛的安全隐患。
暴露API与漏洞的惊人数量
Escape团队分析了财富1000强和CAC 40公司域名,发现了30,784个暴露的API,并识别出超过100,000个API漏洞,其中1,834个被评为高度严重。这些漏洞主要与身份验证失败和配置错误相关。Escape公司首席执行官Tristan Kalos指出:“API安全的规模化已成为企业面临的根本性挑战。随着API的广泛应用,企业的安全措施往往滞后,导致大量敏感数据暴露。”
其中,暴露的API还包括3,945个开发API,这些API通常没有采取足够的安全防护措施。作为开发过程中的一部分,这些API往往承担着测试、调试等重要职能,但却常常暴露在公共互联网上,成为攻击者的入口。报告指出,六家企业暴露了超过100个开发API,其中五家来自财富1000强公司。
暴露的敏感数据和高风险漏洞
除了暴露的API数量令人担忧外,报告还揭示了另一个重要问题——敏感数据的泄露。调查发现,共有1,816个敏感信息(如API密钥、身份验证令牌和数据库凭证)被暴露。这些数据如果被攻击者利用,将直接威胁企业的核心系统安全。
报告还对漏洞类型进行了详细分析,重点关注了以下几种严重安全风险:
身份验证失败(Broken Authentication):API2:2023漏洞是最常见的身份验证漏洞,报告中记录了381个实例。攻击者利用这些漏洞可以绕过身份验证机制,获取未授权的访问权限。
安全配置错误(Security Misconfigurations):报告还发现746个API存在配置错误实例,这类问题通常是由于缺乏适当的访问控制、暴露了关键端点或错误配置了API权限,导致企业的敏感数据和系统暴露在外。
这些漏洞与一些高风险的CVE(公共漏洞和暴露)相关,例如CVE-2024-5535和CVE-2021-3711,显示了企业在解决已知漏洞方面的长久困扰。
实际案例加剧了紧迫性
报告中的几个真实案例突显了API暴露带来的重大风险,进一步验证了加强API安全的迫切性。以下是一些近年来发生的典型安全事件:
Trello:2024年1月,由于API配置错误,Trello暴露了超过1500万个用户记录。攻击者可能利用这一漏洞获取用户信息,并进行后续攻击。
Dell:2024年5月,Dell因一个未加固的API端点导致4900万客户记录被泄露。泄露的内容包括个人信息、订单记录等敏感数据,给企业和用户带来了巨大的风险。
Twilio的Authy服务:Twilio的Authy服务在2024年发现一个API漏洞,攻击者通过该漏洞访问了认证数据,影响了数百万用户的安全。
应对API安全挑战的关键举措
为了应对API安全风险,报告提出了若干应对措施,旨在帮助企业减少API暴露和漏洞带来的潜在威胁:
全面审计API:企业应对所有API进行全面审计,特别是影子API和遗留API,确保每个API端点都已记录在案并受到监控。
增强开发API的安全性:开发API的安全性往往被忽视,但它们承载着大量敏感数据,因此应当实施与生产环境API同等的安全措施,包括身份验证、权限控制和数据加密等。
引入API发现工具:企业应采用自动化API发现和监控工具,持续扫描API环境中的潜在漏洞和配置错误,确保及时发现并修复问题。
加强安全培训:许多API安全问题源于开发和运维人员的疏忽或不当配置。企业应定期对员工进行API安全培训,确保他们了解最佳的安全实践,从而在开发阶段就避免常见的安全漏洞。
合作与信息共享:特别是在金融、医疗等高风险行业,企业应加强与行业内其他组织的安全合作与信息共享。通过共享API安全的最佳实践和威胁情报,共同提高防护能力。
《API暴露现状报告2024》清晰地传递了一个信号:随着API的广泛应用和数字化转型的加速,API暴露的安全风险正在急剧上升。企业不能再依赖传统的反应性安全措施,而应转向更为主动的策略,利用自动化工具、AI技术和实时监控手段,确保API在整个生命周期内的安全性。
企业领导者和IT安全团队必须意识到,API是数字化生态系统中的核心组成部分,其安全性直接关系到企业的整体安全和品牌声誉。只有通过全面的API安全管理和持续的防护措施,企业才能有效应对不断演化的威胁,保护客户和企业免受数据泄露和系统入侵的威胁。
API安全的挑战不仅仅是技术问题,更是企业数字化转型过程中的战略问题。对于财富1000强企业来说,加强API安全已不容忽视,它是保障业务连续性、维护客户信任和提升企业竞争力的关键所在。
文章参考:
https://securityonline.info/fortune-1000s-hidden-threat-30000-exposed-apis-and-100000-api-vulnerabilities-unveiled/
推荐阅读
01 |
02 |
03 |
安全KER
安全KER致力于搭建国内安全人才学习、工具、淘金、资讯一体化开放平台,推动数字安全社区文化的普及推广与人才生态的链接融合。目前,安全KER已整合全国数千位白帽资源,联合南京、北京、广州、深圳、长沙、上海、郑州等十余座城市,与ISC、XCon、看雪SDC、Hacking Group等数个中大型品牌达成合作。
注册安全KER社区
链接最新“圈子”动态