全球商业界在过去几年中面临的挑战是前所未有的。流行病、通货膨胀、能源危机、战争、经济衰退以及供应链的碎片化和延误都给组织带来了问题,没有一个行业、市场或地区未受影响。
然而,尽管存在这些问题,我们的数字生态系统和足迹变得越来越大,越来越复杂。
全球数字化转型市场在 2022 年价值 7311.3 亿美元,现在预计到 2030 年将以 26.7% 的复合年增长率增长,这主要是受到试图获得竞争优势的企业的推动。
然而,正是我们数字世界的规模和复杂性使得网络风险和威胁更加普遍和强大。
随着越来越多的数字化转型举措和越来越多的第三方供应商参与到数字商品和服务的供应和分销中,这为网络犯罪分子创造了更多以我们的基础设施为目标的机会。
这是因为这些举措增加了复杂性,更多的连接点、更多的第三方和更长的数字供应链。
这反过来又增加了对更多 API 和 API 集成的需求,从而增加了风险和攻击媒介。
现实情况是,API 是数字世界的结缔组织,但 API 使用的爆炸式增长给全球组织带来了新的和快速增长的威胁。
更少的技术人才,更多的人工智能和自动化代码生成
拥有足够专业知识来妥善管理和建设基础设施的人才越来越短缺。大约 71% 的首席执行官预计,技能和劳动力短缺将成为 2022 年最大的破坏。
更具体地说,到本世纪十年末,这种技能差距预计将使企业损失数万亿美元。这促使组织研究如何或通过自动化来填补这一空白。
在人工智能的推动下,由数字巨头及其文本生成软件(如 ChatGPT 和谷歌 Bard)带头的自动化都非常流行。
这些工具生成工作代码的能力将越来越成为许多数字服务和产品的支柱,尤其是在技术专家越来越少和代码行越来越多(复杂性越来越高)的情况下。
这样的工具很容易获得,并且潜在的生产力提升是巨大的,但不幸的是,这些好处也伴随着一些主要的缺点。不可否认的是,这些工具有能力使开发变得更容易和更快。
然而,就生成安全代码而言,还没有定论。人工智能工具使用了广泛的现有知识,但它们缺乏人类的创造力和主动性,这意味着漏洞可能会潜入代码中。不幸的是,它只需要一个漏洞攻击者可以通过 API 访问关键信息。
这也增加了使用 Github Copilot 和 Copilot X 等自动代码生成工具的可能性和可能性。
这些工具有可能让压力大、需求旺盛的开发人员的生活更轻松,但与斯坦福大学相关的一组研究人员也发现,这些工具更有可能使他们开发的应用程序中存在安全漏洞和缺陷。
不断变化的全球法规正在增加复杂性
让事情变得越来越困难的是,不同国家的法律正在迅速变化,而且变化并不同步。
这意味着任何国际公司及其冗长的供应链都必须遵守新的、不断变化的和脱节的规则。
美国国家网络战略、欧盟网络防御政策和网络弹性法案、NIS2 指令、数字运营弹性法案 (DORA) 和 PSD3 开放银行磋商,开始显示针对这些影响广泛的立法数量主题,还有更多的作品。
其中有些是指导方针,有些是法律,有些是全面的,有些则不那么全面。这使得保持领先地位更加困难。
上面列出的所有问题都在制造一场完美的风暴,在如此复杂的政策、法规和安全矩阵中开展业务不仅会造成巨大的效率低下,而且在组织一直关注风险和安全的时候,由于经济环境和成本,还会产生攻击媒介和漏洞。
全面的 API 安全性如何填补空白
在这样一个脆弱、不确定且受到严格监管的环境中,现在对适当的 API 安全性提出了关键要求,该安全性可以发现、监控和预测漏洞,同时在它们通过网络传播之前修复它们。
这种全面且专用的 API 安全性需要“左移”并从软件开发生命周期的开始就开始使用,但“向右倾斜”强调主动和实时保护。
最终,目标应该是建立全面有效的 API 安全策略,这些策略会随着时间的推移进行主动管理。
使用先进的 AI 和 ML 流程在新威胁影响网络之前发现它们也很重要。持续和积极的测试也很重要,以确保企业具有实时能力来识别新的攻击向量并修复漏洞,因为他们展开。
与所有新平台和工具一样,API 安全提供商必须不仅仅是供应商。
他们需要被视为值得信赖的合作伙伴,以帮助确保 API 安全策略和工具在不断变化的环境中保持领先地位,同时提高客户在这个竞争激烈的环境中扩展业务的速度。
随着我们展望未来软件开发越来越快并结合自动代码生成,现在公司比以往任何时候都更需要全面、灵活的 API 安全工具,例如发现、状态管理、运行时保护以及预生产和部署。
这将使他们能够积极测试、预测和防御漏洞,并满足日益不可预测的世界的需求。