本报记者 秦枭 北京报道
(资料图)
多位业内人士在接受《中国经营报》记者采访时表示,在万物互联、各行业数字化转型的时代背景下,越来越多的应用开发深度依赖于应用程序编程接口(以下简称“API”)之间的相互调用,API安全受到广泛重视。与此同时,API也正成为攻击者重点光顾的目标,正因如此,越来越多的企业已经开始用零信任网络访问(ZTNA)取代VPN(虚拟专用网络)。
金融业成攻击重灾区
目前,世界各地网络安全事件频发,针对政府机构、重点企业的网络攻击,诸如数据泄漏、勒索软件、黑客攻击等层出不穷,数据泄露、勒索软件、DDoS攻击、APT攻击、钓鱼攻击以及网页篡改等攻击类型和策略复杂多变,对企业及国家安全造成了严重威胁。
尽管网络威胁遍布所有行业,但作为最有利可图的目标之一,金融业无疑是攻击重灾区。
《2021年中国互联网安全报告》显示,2021年针对API业务的攻击达到147.98亿次,同比增长超过200%,其中零售业、金融业以其数字化程度最深成为重灾区,两者集中了将近七成的API攻击。另外,尽管恶意爬虫仍是最主要的攻击方式,但其占比有所下降,针对API业务的攻击手段类型整体趋于多样化。
据介绍,应用开发、发布以及数据共享都会频繁使用API,故而近年来API攻击也正成为主要的非法数据获取手段。攻击者可以通过破坏身份验证令牌或利用实现中缺陷的形式,冒充用户来访问数据源,进而扩大攻击面,造成数据泄露、被篡改等安全事故。
派拓网络大中华区总裁陈文俊对记者表示,现在由于云的敏捷性、方便性,很多应用开发者都深度应用云来做开发,也使用了一些API的接口互相对接,但是在敏捷多变的系统架构里,广泛调用API接口的时候,也造成了安全策略的复杂性,使得攻击面扩大,让更多隐藏的攻击者抓住可乘之机。
不仅如此,根据Gartner的数据,到2024年API攻击将加速并翻一番。与此同时,API承载的业务量也在高速增长,从2019年到2021年,与API相关的查询量稳步增长,平均同比增长33%。
建立零信任网络
API攻击骤升带来的直接挑战就是企业如何建立“零信任”网络。
IDC定义下的零信任是一种网络安全策略,其中安全策略的应用不是基于假设的信任,而是基于通过最低权限访问控制和严格用户身份验证建立的上下文。调整良好的零信任架构可以简化整体网络基础设施、提供更好的用户体验,并最终提高对网络威胁的保护效果。
用简单的话来讲,零信任任何用户或流程都不应该被信任,需要逐一地验证身份,证实你的设备和环境是安全之后,再将你接入到你需要访问的特定应用程序或者数据上,而不是让你能够在专网或者内网里自由浏览。并且在你使用的过程中,持续验证你的身份,直到你停止使用为止。
《2021年中国互联网安全报告》显示,越来越多的企业已经开始用零信任网络访问取代VPN,随着移动办公、混合云加速消融网络边界,企业对安全功能的整合、对策略及控制的集成成为趋势,SASE(安全访问服务边缘)作为最佳解决方式,需求将随之增长。
Gartner预计,到2023年,60%的企业将会用零信任网络访问方案来替代VPN。Garnet团队进一步预测,40%的人将采用ZTNA替代VPN之外,还会用来支持第三方访问、多云访问以及与并购或资产剥离相关的活动。
陈文俊对记者说道:“零信任SASE的架构上包括平台化的解决方案,能够解决未来网络攻击的问题,但是这还不够,在流程上,如何在公司内部做到规范化,我们从不同产品的接入、管控上,是否可以允许员工安装自己的软件,带自己的设备,这些都需要在流程上进行更好的管控,也是零信任架构很重要的一部分。我们希望通过零信任架构做到任何用户、任何设备、任何连接方式,都通过VPN或者SD-WAN的专线方式,无论在数据中心还是云上的应用,任何数据都有安全统一的策略做保护。除了技术以外,还需要人和流程的配合,才能有更好的网络安全防御效果。”
但是,对于混合办公和分布式应用程序成为常态的企业而言,最初的零信任已无法满足其要求。首先,由于它无法控制对子应用程序和特定功能的访问,因此在授予应用程序访问权限时会过于宽松。同时,缺少对用户、应用程序和设备行为变化的监控,无法检测和阻止恶意软件和跨连接的横向移动。
目前,诸如派拓网络、腾讯等厂商都在推行零信任2.0解决方案,希望以此能够帮助企业有效应对现代应用程序、攻击威胁和混合办公带来的安全挑战。
对此,IDC中国网络安全市场分析师王一汀也表示,未来,零信任网络访问解决方案将向体系化、云化、服务化、数据化、自动化、智能化、场景化等方向快速发展,在了解客户网络和业务的基础上,真正赋能用户网络与数据的安全访问体系建设。
(编辑:吴清 校对:颜京宁)
关键词: API接口攻击增多 零信任网络2 0加速落地 虚拟专用网
