application策略现状: 谁应该推动您的 API安全策略?
至少有三个好的答案,但也有一些不太好的答案。
战略,特别是技术方面的战略,通常落在高管的肩上。 当谈到与安全相关的策略时,通常是由 CISO 来负责,如果没有这样的角色,那么就是由 CIO 来负责。
但是一些组织将推动 API 安全策略的责任委托给其他角色。 开发人员、SRE 甚至网络专业人员可能都拥有当今保护 API 的策略。
或许是因为没有真正的研究去探究这些决定可能产生的结果。 毕竟,开发人员有充分的理由推动 API安全策略,就像有充分的理由将这一责任放在每个可能以某种方式接触 API 的人身上一样,无论是在开发、测试还是生产过程中。
在我们最近深入研究 API 安全性的研究中,我们询问了每个受访者(所有 API 安全决策者)他们组织中的哪些角色负责推动 API安全策略。 我们发现了各种各样的反应,从开发人员到网络专业人员,再到跨组织方法。
但我们也询问了一些有关组织用于保护 API 的安全服务类型的细节。 这些服务包括 DDoS 保护、访问控制、mTLS 和 SSL。 我们将这些服务的部署作为战略执行的具体表现,因为它们是执行安全策略所衍生的政策所需的一些控制措施。 然后,我们根据谁推动 API安全策略来查看部署了哪些服务。
坦率地说,结果让我们震惊。
事实证明,当 API安全策略属于跨组织责任时,部署的服务集最为全面,其次是更一般的安全组织以及 CIO/CISO 领导层。
也许更令人沮丧的是,当 SRE 推动安全策略时,API 安全性直到 API 生命周期的测试阶段才被纳入其中。 当做出其他领先的 API安全策略选择时,API 安全性的纳入主要始于设计或开发阶段。 即使网络团队推动 API安全策略,他们也会告诉我们开发是融入 API 安全性的阶段。
现在,好消息是,大多数组织将定义 API安全策略的责任指定给这三者之一。 只有 8% 的人将其交给开发人员,更少的人(3%)希望网络专业人员来处理它,只有 1% 的人将此任务分配给 SRE。
这与分配 API 安全性的域密切相关。 因为这个决定很大程度上受到谁来推动该战略的影响。 当 API安全策略由 CIO/CISO 领导推动或被视为跨组织时,API 安全最终会分布在四个典型领域: API 管理、应用安全、网络以及安全性,但与应用安全分开。 鉴于捍卫和保护 API 的服务可以跨越多个领域,这是有意义的。
因此,如果您的组织将 API安全策略分配给 CIO/CISO 领导、安全部门,或将其视为跨组织责任,那么恭喜您! 您的战略方法是通过安全服务实现全面的安全控制,以防御和保护 API 免受各种攻击。
通过阅读今天的新闻稿和获取我们的最新报告,您可以更深入地了解 API 的秘密生活。 您会发现更多令人恐惧的统计数据,同时还可以了解更多有关 API 在企业内部实际使用的方式以及组织认为对保证 API 安全很重要的安全功能。