CISO为何重视API安全,又该如何保障API安全?
ISO的职责,在于为企业制定核心增长计划,同时降低运营风险。为此,CISO们必须不断评估并权衡多种战略计划的安全后果,并思考这些路线给企业带来的潜在影响:
• 产品上市速度。
• 竞争优势。
• 品牌优势。
只要观察并考量安全基础设施对这三大交付方向的积极或消极影响,CISO们就能摸索出推动企业走向成功的道路。而纵观当前形势,一种与这三大企业动态密不可分的新领域已然出现,这就是使用API推动创新。
API正在吞噬世界
API已经成为企业支持创新/创新数字化转型中的关键一步。无论是开放式银行服务、移动与在线服务、数字信息共享应用,还是DoorDash、Uber、PayPal、Spotify、Netflix乃至特斯拉等知名品牌,他们的运行全都离不开API的加持。
因此,企业如今需要比以往任何时候都更快、更规模化地构建并发布API。在API的帮助下,企业得以构建起高级服务并快速投放市场,同时开辟出新的业务与收入流通道。数字化进程加速了这一趋势,而新冠疫情的爆发则迫使实施进度大大提前。于是乎,企业必须为员工和客户快速部署远程服务,并建立产品集成以支持无数设备——这一切,都离不开API的粘合。结合种种现实因素,难怪今年年初公共API中心Postman迎来了创纪录的2000万用户。
但正是由于API需要与客户、合作伙伴和员工分享高敏感度数据,所以它也成了恶意黑客眼中极具吸引力的攻击目标。CISO们已经切身感受到了这种风险。
根据AimPoint Group、W2 Communications和CISOs Connect发布的《CISO报告、展望、挑战,与2022年及之后计划》最新研究报告,受访CISO们列出了以下几项亟需改进的主要IT要素:
• API: 42%
• 云应用程序 (SaaS): 41%
• 云基础设施 (IaaS): 38%
API加快产品上市速度
企业向市场发布新服务的速度越快,相应的收益获取时间也就越早。因此在疫情压力之下,相当一部分公司的存亡绝续,可以说就维系在产品/服务的上市速度身上。而API,则成为企业组织与业务之间的开放通道。
企业必须根据能否达成既定上市速度,来评估自己的业务价值和运营成本,着力清除一切可能阻碍产品上市速度的障碍。但API所带来的安全威胁也是一种巨大障碍,可能会拖慢部署速度,甚至在攻击下令业务体系土崩瓦解。
只有防止API遭到滥用,企业才能稳步加快产品上市速度、积累业务机会、培养竞争优势。
API提供竞争优势
时至今日,企业已经意识到上市速度本身就是竞争优势的一大集中体现。作为行业领导者,企业必须把握机会,抓住最丰厚的市场份额与利润空间。
在金融服务领域,建立竞争优势就是企业的核心业务目标,而技术转型则是达成目标的核心战略步骤。于是,金融科技企业率先激发了客户的服务期望,而开放式银行紧随其后,轻松将移动应用与银行账户关联起来、为使用者提供以往无法想象的创新和便利性体验。
所以,如今的银行和金融机构必须走在服务的最前沿,才能维持竞争优势、在市场上占据一席之地。而API则是服务功能的底层支撑,是机构参与竞争、赢得竞争的前提。
但安全威胁与不合规行为可能影响到API的成功实施,甚至带来高额罚款。企业必须确保新型应用和客户的宝贵财务数据之间始终由安全通道相连。在这里,API代表的是个人身份信息(PII)及其他重要数据资产的接入点,企业应该意识到恶意黑客一直将这些资产作为攻击目标,打算借此谋取私利、破坏业务。
正确的安全方法,有助于保护品牌声誉
一旦品牌声誉受损,企业可能会失去竞争优势。在整个商业风险领域,品牌声誉受损都是影响最大、最难以摆脱的负面冲击。与之相应,积极的品牌声誉则承载着稳定、诚信,自然也对应着牢固的客户忠诚度。
API有助于提升品牌在发展前瞻性和以客户为导向的良好声誉。而一旦这些API遭到破坏,所有收益都将立即消失,取而代之的就是不信任、恐惧乃至客户流失。
道理虽不难理解,但如今API在数量和部署速度上都在狂飙猛进,再加上API那独特的业务逻辑,导致保护方式变得异常复杂。传统的安全解决方案(例如Web应用程序防火墙和API网关)虽然能够抵御基础攻击,但却搞不定持续增长的API攻击数量和复杂性。最新研究表明,API攻击流量的增长速度,已经达成API自身流量增速的两倍以上。
将专门的API保护机制视为业务运营成本
API代表着可观的业务价值与收益。但要发掘出这些价值和收益,CISO必须先解决API保护这道难题。毕竟API所承载的,其实就是企业皇冠上的明珠——数字商品与服务交付所必需的基础/敏感数据。
时至今日,每一家软件开发公司都已经成为API驱动型企业。对这类企业而言,对API的保护已经不再是额外举措,而是在数字化环境下开展业务的一类日常成本。而如果不为这些核心互连工具设置专门的API安全方案,那么业务体系内的一切都将暴露在风险之下——包括产品上市速度、竞争优势乃至整个品牌形象。
最后,CISO必须为API安全探索出一种协同方法。API涵盖业务中的所有领域,CISO需要引导和教育技术团队,让他们理解API安全计划、意识到这些工作对于降低运营风险的重要意义。CISO的职责,就在于根据安全目标为整个企业提供答案和见解。
当下的CISO们已经达成共识,必须将强大且跨职能部门的“安全意识”文化作为企业发展的第一要务。为了建立这种积极的安全心态,领导者必须优先考虑组织关系、掌握每位员工的安全贡献,并不断传达安全对于实现整体业务目标的重要意义。毕竟,只有能够持续稳定运转的组织机器,才是能不断产出丰富价值的好机器。