API接口攻击增多 零信任网络2.0加速落地

本报记者 秦枭 北京报道

近日，接击增加速IT研究与咨询顾问机构IDC在《IDC MarketScape： 零信任网络访问解决方案，口攻2022厂商评估》报告中指出，多零以“远程+”为核心的信任新型办公模式兴起，基于远程的网络安全接入需求快速爆发，接入安全又一次成为了新常态下最终用户关注的落地重点，零信任网络访问解决方案正式登上历史舞台。接击增加速

多位业内人士在接受《中国经营报》记者采访时表示，口攻在万物互联、多零各行业数字化转型的信任时代背景下，越来越多的网络应用开发深度依赖于应用程序编程接口（以下简称“API”）之间的相互调用，API安全受到广泛重视。落地与此同时，接击增加速API也正成为攻击者重点光顾的口攻目标，正因如此，多零越来越多的企业已经开始用零信任网络访问（ZTNA）取代VPN（虚拟专用网络）。

金融业成攻击重灾区

目前，世界各地网络安全事件频发，针对政府机构、重点企业的网络攻击，诸如数据泄漏、勒索软件、黑客攻击等层出不穷，数据泄露、勒索软件、DDoS攻击、APT攻击、钓鱼攻击以及网页篡改等攻击类型和策略复杂多变，对企业及国家安全造成了严重威胁。

尽管网络威胁遍布所有行业，但作为最有利可图的目标之一，金融业无疑是攻击重灾区。

《2021年中国互联网安全报告》显示，2021年针对API业务的攻击达到147.98亿次，同比增长超过200%，其中零售业、金融业以其数字化程度最深成为重灾区，两者集中了将近七成的API攻击。另外，尽管恶意爬虫仍是最主要的攻击方式，但其占比有所下降，针对API业务的攻击手段类型整体趋于多样化。

据介绍，应用开发、发布以及数据共享都会频繁使用API，故而近年来API攻击也正成为主要的非法数据获取手段。攻击者可以通过破坏身份验证令牌或利用实现中缺陷的形式，冒充用户来访问数据源，进而扩大攻击面，造成数据泄露、被篡改等安全事故。

派拓网络大中华区总裁陈文俊对记者表示，现在由于云的敏捷性、方便性，很多应用开发者都深度应用云来做开发，也使用了一些API的接口互相对接，但是在敏捷多变的系统架构里，广泛调用API接口的时候，也造成了安全策略的复杂性，使得攻击面扩大，让更多隐藏的攻击者抓住可乘之机。

不仅如此，根据Gartner的数据，到2024年API攻击将加速并翻一番。与此同时，API承载的业务量也在高速增长，从2019年到2021年，与API相关的查询量稳步增长，平均同比增长33%。

建立零信任网络

API攻击骤升带来的直接挑战就是企业如何建立“零信任”网络。

IDC定义下的零信任是一种网络安全策略，其中安全策略的应用不是基于假设的信任，而是基于通过最低权限访问控制和严格用户身份验证建立的上下文。调整良好的零信任架构可以简化整体网络基础设施、提供更好的用户体验，并最终提高对网络威胁的保护效果。

用简单的话来讲，零信任任何用户或流程都不应该被信任，需要逐一地验证身份，证实你的设备和环境是安全之后，再将你接入到你需要访问的特定应用程序或者数据上，而不是让你能够在专网或者内网里自由浏览。并且在你使用的过程中，持续验证你的身份，直到你停止使用为止。

《2021年中国互联网安全报告》显示，越来越多的企业已经开始用零信任网络访问取代VPN，随着移动办公、混合云加速消融网络边界，企业对安全功能的整合、对策略及控制的集成成为趋势，SASE（安全访问服务边缘）作为最佳解决方式，需求将随之增长。

Gartner预计，到2023年，60%的企业将会用零信任网络访问方案来替代VPN。Garnet团队进一步预测，40%的人将采用ZTNA替代VPN之外，还会用来支持第三方访问、多云访问以及与并购或资产剥离相关的活动。

陈文俊对记者说道：“零信任SASE的架构上包括平台化的解决方案，能够解决未来网络攻击的问题，但是这还不够，在流程上，如何在公司内部做到规范化，我们从不同产品的接入、管控上，是否可以允许员工安装自己的软件，带自己的设备，这些都需要在流程上进行更好的管控，也是零信任架构很重要的一部分。我们希望通过零信任架构做到任何用户、任何设备、任何连接方式，都通过VPN或者SD-WAN的专线方式，无论在数据中心还是云上的应用，任何数据都有安全统一的策略做保护。除了技术以外，还需要人和流程的配合，才能有更好的网络安全防御效果。”

但是，对于混合办公和分布式应用程序成为常态的企业而言，最初的零信任已无法满足其要求。首先，由于它无法控制对子应用程序和特定功能的访问，因此在授予应用程序访问权限时会过于宽松。同时，缺少对用户、应用程序和设备行为变化的监控，无法检测和阻止恶意软件和跨连接的横向移动。

目前，诸如派拓网络、腾讯等厂商都在推行零信任2.0解决方案，希望以此能够帮助企业有效应对现代应用程序、攻击威胁和混合办公带来的安全挑战。

对此，IDC中国网络安全市场分析师王一汀也表示，未来，零信任网络访问解决方案将向体系化、云化、服务化、数据化、自动化、智能化、场景化等方向快速发展，在了解客户网络和业务的基础上，真正赋能用户网络与数据的安全访问体系建设。

（编辑：吴清 校对：颜京宁）